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本 书 主要 介绍 信息 对 抗 与 网 络 安全 的 基本 概念 、 密 码 技术 、 通 信保 密 技术 、 计 算 机 网 络 安 全 技术 和 日 
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出 版 说 明 


于 网 络 应 用 越 来 越 普 及 ,信息 化 的 社会 已 经 呈现 出 越 来 越 广阔 的 前 景 ,可 以 肯定 地 说 ， 
在 未 来 的 社会 中 电子 支付 ,电子 银行 ,电子 政务 以 及 多 方面 的 网 络 信息 服务 将 深入 到 人 
类 生活 的 方方面面 。 同 时 , 随 之 面临 的 信息 安全 问题 也 日 益 突出 ,非法 访问 \ 信 息 窃取 、 
甚至 信息 犯罪 等 恶意 行为 导致 信息 的 严重 不 安全 。 信 息 安全 问题 已 由 原来 的 军事 国防 
领域 扩展 到 了 整个 社会 ,因此 社会 各 界 对 信息 安全 人 才 有 强烈 的 需求 。 

信息 安全 本 科 专 业 是 2000 年 以 来 结合 我 国 特色 开设 的 新 的 本 科 专 业 , 是 计算 机 、 
通信 数学 等 领域 的 交叉 学 科 , 主要 研究 确保 信息 安全 的 科学 和 技术 。 自 专业 创办 以 
来 ,各 个 高 校 在 课程 设置 和 教材 研究 上 一 直 处 于 探索 阶段 。 但 各 高 校 由 于 本 身 专业 设 
置 上 来 自 于 不 同 的 学 科 , 如 计算 机 、 通 信和 数学 等 ,在 课程 设置 上 也 没有 统一 的 指导 规 
范 ,在 课程 内 容 、 深 浅 程度 和 课程 衔接 上 ,存在 模糊 不 清 、 内 容重 从、 知识 覆盖 不 全 面 等 
现象 。 因 此 ,根据 信息 安全 类 专业 知识 体系 所 覆盖 的 知识 点 ,系统 地 研究 目前 信息 安全 
专业 教学 所 涉及 的 核心 技术 的 原理 、 实 践 及 其 应 用 ,合理 规划 信息 安全 专业 的 核心 课 
程 , 在 此 基础 上 提出 适合 我 国信 息 安全 专业 教学 和 人 才 培 养 的 核心 课程 的 内 容 框架 和 
知识 体系 ,并 在 此 基础 上 设计 新 的 教学 模式 和 教学 方法 ,对 进一步 提高 国内 信息 安全 专 
业 的 教学 水 平和 质量 具有 重要 的 意义 。 

为 了 进一步 提高 国内 信息 安全 专业 课程 的 教学 水 平和 质量 ,培养 适应 社会 经 济 发 
展 需要 的 、 兼 具 研究 能 力 和 工程 能 力 的 高 质量 专业 技术 人 才 。 在 教育 部 相关 教学 指导 
委员 会 专家 的 指导 和 建议 下 ,清华 大 学 出 版 社 与 国内 多 所 重点 大 学 共同 对 我 国信 息 安 
全 人 才 培 养 的 课程 框架 和 知识 体系 ,以 及 实践 教学 内 容 进 行 了 深入 的 研究 ,并 在 该 基础 
上 形成 了 “信息 安全 人 才 需 求 与 专业 知识 体系 、 课 程 体系 的 研究 ”等 研究 报告 。 

本 系列 教材 是 在 课程 体系 的 研究 基础 上 总 结 、 完 善 而 成 ,力求 充分 体现 科学 性 、 先 
进 性 .工程 性 ,突出 专业 核心 课程 的 教材 ,兼顾 具有 专业 教学 特点 的 相关 基础 课程 教材 ， 
探索 具有 发 展 潜力 的 选修 课程 教材 ,满足 高 校 多 层次 教学 的 需要 。 

本 系列 教材 在 规划 过 程 中 体现 了 如 下 一 些 基本 组 织 原则 和 特点 。 

(1) 反映 信息 安全 学 科 的 发 展 和 专业 教育 的 改革 ,适应 社会 对 信息 安全 人 才 的 培 
养 需 求 ,教材 内 容 坚持 基本 理论 的 扎实 和 清晰 ,反映 基本 理论 和 原理 的 综合 应 用 ,在 其 
基础 上 强调 工程 实践 环节 ,并 及 时 反映 教学 体系 的 调整 和 教学 内 容 的 更 新 。 

(2) 反映 教学 需要 ,促进 教学 发 展 。 教 材 要 适应 多 样 化 的 教学 需要 ,正确 把 握 教 学 
内 容 和 课程 体系 的 改革 方向 ,在 选择 教材 内 容 和 编写 体系 时 注意 体现 素质 教育 、 创 新 能 
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力 与 实践 能 力 的 培养 ,为 学 生 知识 能力、 素质 协调 发 展 创造 条 件 。 

(3) 实施 精品 战略 ,突出 重点 。 规 划 教 材 建设 把 重点 放 在 专业 核心 (基础 ) 课 程 的 教材 
建设 上 ; 特别 注意 选择 并 安排 一 部 分 原来 基础 比较 好 的 优秀 教材 或 讲义 修订 再 版 ,逐步 形 
成 精品 教材 ; 提倡 并 鼓励 编写 体现 工程 型 和 应 用 型 的 专业 教学 内 容 和 课程 体系 改革 成 果 的 
教材 。 

(4) 支持 一 纲 多 本 ,合理 配套 。 专 业 核心 课 和 相关 基础 课 的 教材 要 配套 ,同一 门 课程 可 
以 有 多 本 具有 各 自 内 容 特点 的 教材 。 处 理 好 教材 统一 性 与 多 样 化 ,基本 教材 与 辅助 教材 , 教 
学 参考 书 ,文字 教材 与 软件 教材 的 关系 ,实现 教材 系列 资源 的 配套 。 

(5) 依靠 专家 ,择优 落实 。 在 制定 教材 规划 时 依靠 各 课程 专家 在 调查 研究 本 课程 教材 
建设 现状 的 基础 上 提出 规划 选 题 。 在 落实 主编 人 选 时 ,要 引入 竞争 机 制 , 通 过 申报 .评审 确 
定 主编 。 书 稿 完成 后 认真 实行 审 稿 程序 ,确保 出 书 质量 。 

繁荣 教材 出 版 事业 ,提高 教材 质量 的 关键 是 教师 。 建 立 一 支 高 水 平 的 、 以 老 带 新 的 教材 
编写 队伍 才能 保证 教材 的 编写 质量 ,希望 有 志 于 教材 建设 的 教师 能 够 加 入 到 我 们 的 编写 队 
伍 中 来 。 
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前 癌 


从 信息 技术 发 展 的 历程 来 看 ,信息 安全 已 由 20 世纪 80 年 代 的 被 动 保密 发 展 到 20 世纪 

90 年 代 的 主动 保护 ,继而 发 展 到 21 世纪 的 信息 全 面 保障 。 

本 书 从 信息 时 代 的 战争 引出 电子 战 、 网 络 战 的 概念 ,进而 介绍 相关 的 通信 保密 技术 
与 网 络 安全 技术 。 在 讲述 密码 技术 、 通 信保 密 技术 时 ,结合 一 些 新 知识 ,如 量子 密码 \ 信 
息 隐 藏 ,无线 安 全 等 内 容 , 使 学 生 对 相关 的 前 沿 知识 有 所 了 解 。 在 讲述 计算 机 网 络 安全 
技术 日常 上 网 的 安全 防范 时 ,注意 理论 联系 实际 ,结合 一 些 常用 计算 机 攻防 软件 的 使 
用 ,使 学 生 能 够 将 所 学 的 知识 应 用 到 日 常生 活 中 。 本 书 试图 使 读者 从 宏观 上 对 信息 对 
抗 和 网 络 安 全 有 一 个 比较 全 面 的 了 解 ,从 微观 上 掌握 如 何 保护 信息 安全 ,防范 攻 击 的 具 
体 方法 。 

第 1 章 介 绍 信息 对 抗 与 网 络 安全 的 基本 概念 ; 第 2 章 介 绍 密码 学 的 基本 概念 以 及 
如 何 使 用 密码 技术 实现 加 密 与 破解 ; 第 3 章 介绍 数据 .语音 和 图 像 的 通信 保密 技术 ; 第 
4 章 介绍 如 何 防范 黑客 使 用 病毒 ,木马 .扫描 、 嗅 探 ,攻击 进行 人 侵 ,如何 使 用 防火 墙 、 人 
侵 检 测 技术 .数据 备份 和 数据 急救 进行 安全 保障 ; 第 5 章 介绍 电子 邮件 .网络 浏览 、 网 
络 欺诈 、 移 动 互 联 的 安全 防范 。 

本 教材 由 上 海 电力 学 院 贺 雪 晨 编写 。 在 编写 过 程 中 ,根据 全 国 几 十 所 高 校 使 用 第 
2 版 教材 的 反馈 情况 及 佐治 亚 理工 和 佐治 亚 州立 大 学 相关 专家 的 意见 以 及 信息 安全 技 
术 不 断 发 展 的 需要 ,在 第 3 版 中 进行 了 以 下 修订 : 第 1 章 增 加 了 一 些 新 的 案例 ; 第 2 章 
新 增 了 Enigma 密码 机 原理 .RSA 算法 原理 与 实例 等 内 容 , 对 认证 与 数字 签名 、 密 码 学 
新 技术 文件 加 密 与 破解 .数据库 加 密 等 部 分 进行 了 更 新 ; 第 3 章 对 隐藏 信息 的 检测 、 
窃听 与 反 穷 听 、 数 字 水 印 技术 等 部 分 进行 了 更 新 ; 第 4 章 新 增 了 DDoS 反射 攻击 、 
DDoS 放大 攻击 .SNMP 放大 攻击 、 移 动 互联 网 环境 下 的 DDoS 攻防 、 主 机 入 侵 防 御 系 
统 等 内 容 ,对 黑客 和 人 侵 攻击 .计算 机 病毒 表现 与 破坏 .计算 机 病毒 发 展 历史 与 趋势 .木马 
原理 漏洞 概述 .扫描 器 原理 ,DoS 攻击 手段 .DDoS 攻击 .DDoS 攻击 的 防范 、 暴 库 攻击 、 
入 侵 检测 技术 等 部 分 进行 了 更 新 ; 第 5 章 新 增 了 路 由 器 安全 、 网 络 其 诈 安 全 防范 、 移 动 
互联 安全 防范 等 内 容 ,对 反 垃 圾 邮件 “网 络 钓鱼 "及 其 防范 .防止 Cookie 泄露 个 人 信 
息 .浏览 器 安全 等 部 分 进行 了 更 新 。 

信息 安全 技术 是 一 门 实践 性 很 强 .发展 很 快 的 学 科 ,在 教学 过 程 中 可 以 通过 各 种 方 
法 提高 同学 的 实际 动手 能 力 和 自学 能 力 ,编者 在 这 方面 做 了 一 些 尝试 ,有 兴趣 的 读者 可 
以 通过 编者 的 新 浪 博客 http://blog. sina. com. cn/heinhe 一 起 探讨 。 此 外 ,在 精品 课 
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程 网 站 http://jpkc. shiep. edu. cn/? courseid 王 20065305 上 提供 了 教学 大 纲 .电子 教案 、 模 


拟 试卷 、 
由 村 


习题 答案 、 实 践 教学 、 视 频 课 件 .交互 课件 ,素材 下 载 等 模块 供 各 位 教师 参考 。 
FF 编者 的 水 平和 经 验 有 限 , 书 中 的 缺点 和 下 漏 之 处 在 所 难免 ,恳请 有 关 专 家 和 读者 批 


评 指正 。 
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信息 已 成 为 支撑 国家 政治 、 经 济 、 军 事 .科技 的 重要 战略 资源 ,信息 安全 是 保护 信息 资源 
的 基础 ,没有 信息 安全 ,就 没有 政治 、 军 事 和 经 济 安全 ,就 没有 完整 意义 上 的 国家 安全 。 

信息 安全 起 源 于 文字 和 话音 的 保密 ,是 一 门 涉及 计算 机 科学 、 网 络 技术 、 物 理学 、 管 理科 
学 、 通 信 技 术 、 密 码 技术 信息 安 全 技术 、 应 用 数学 、 数 论 \ 信 息 论 乃至 生物 学 等 多 种 学 科 的 边 

从 信息 技术 的 发 展 历程 来 看 ,信息 安全 已 由 20 世纪 80 年 代 的 被 动 保密 发 展 到 20 世纪 
90 年 代 的 主动 保护 ,继而 发 展 到 21 世纪 初 的 信息 全 面 保障 。 在 斯 诺 登 曝光 “棱镜 门 " 事 件 
之 后 ,信息 安全 已 上 升 为 国家 战略 。 

20 世纪 80 年 代 前 ,信息 安全 的 唯一 属性 就 是 信息 的 保密 性 ; 20 世纪 80 年 代 期 间 , 扩 
大 到 了 信息 的 完整 性 、 可 用 性 、 可 审计 性 和 可 认证 性 ; 到 了 20 世纪 90 年 代 , 其 内 涵 已 扩展 
到 了 信息 的 可 控 性 。 

计算 机 网 络 的 出 现 和 发 展 ,特别 是 Internet 日 新 月 异 的 迅猛 发 展 ,使 人 类 对 于 信息 的 开 
发 和 应 用 达到 了 一 个 空前 的 高 度 。 先 进 的 计算 机 系统 已 把 军队 乃至 整个 社会 联系 在 了 一 
起 ,在 未 来 的 网 络 世 界 里 ,每 个 芯片 都 是 一 种 潜在 的 武器 ,每 台 计 算 机 都 有 可 能 成 为 一 个 有 
效 的 作战 单元 ,一 位 平民 百姓 可 能 编制 出 实施 信息 战 的 计划 ,并 付 诸 实施 。 任 何 社会 团体 或 
个 人 ,只 要 掌握 了 计算 机 通信 技术 ,只 要 拥有 一 台 计算 机 和 和 网 线路 ,就 可 以 攻击 装 有 芯 
的 系统 和 接 人 网 络 的 装备 ,利用 网 络 来 发 动 一 场 特殊 的 战争 。 

从 目前 的 技术 看 ,计算 机 网 络 具 有 很 大 的 脆弱 性 , 极 易 被 黑客 人 侵 。 如 果 敌 对 国运 用 网 
络 犯罪 手段 进行 经 济 干扰 和 破坏 ,足以 使 当 事 国 经 济 崩 溃 。 一 些 国家 正在 开发 研制 的 “超级 
病毒 "和 电磁 脉冲 装置 ,就 可 以 对 他 国 的 银行 .证 券 交易 .空中 交通 管制 .电话 .电视 网 、 发 电 
站 ,电力 网 系统 进行 攻击 ,造成 当 事 国 家 经 济 瘫痪 。 

随 着 科学 技术 的 发 展 和 社会 生产 结构 的 变化 ,国家 安全 赖 以 存在 的 基础 也 发 生 了 变化 ， 
从 原来 的 国土 .资源 ,军队 等 有 形 的 东西 为 主 ,转变 为 以 信息 和 知识 等 无 形 的 东西 为 主 ,使 信 
息 安全 成 为 国家 安全 的 基础 。 信 息 安全 不 能 得 到 保障 ,国家 就 会 经 济 亲 乱 、 政 治 失 稳 、 军 事 
失效 ,文化 迷失 ,技术 落后 ,进而 影响 到 国家 在 国际 上 的 地 位 和 形象 。 


1.1 信息 时 代 的 战争 


信息 战 是 以 计算 机 为 主要 武器 ,以 覆盖 全 球 的 计算 机 网 络 为 主 战场 ,以 攻击 敌 方 的 信息 
系统 为 主要 手段 ,以 数字 化 战场 为 依托 ,以 信息 化 部 队 为 基本 作战 力量 ,运用 各 种 信息 武器 
和 信息 系统 ,围绕 着 信息 的 获取 、 控 制 和 使 用 而 展开 的 一 种 新 型 独特 的 作战 形式 。 

信息 战 的 出 现 是 信息 社会 中 信息 技术 高 度 进步 的 必然 产物 ,是 信息 技术 发 展 和 它 在 军 
事 领 域 中 广泛 应 用 的 结果 。 信 息 对 抗 的 手段 越 来 越 多 ,范围 越 来 越 大 ,信息 优势 在 战争 中 的 
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主导 作用 越 来 越 明 显 。 人 们 开始 像 重 视 “ 制 海 权 ”“ 制 空 权 ” 一 样 重视 “ 制 信息 权 ”, 有 意 地 将 
各 种 信息 技术 和 武器 装备 综合 、 系 统 地 加 以 运用 ,展开 全 面 的 信息 对 抗 , 使 得 信息 对 抗 由 一 
种 辅助 性 的 作战 行动 上 升 为 关键 性 的 、 其 至 是 决定 性 的 作战 形式 ,从 而 形成 了 现在 的 信息 战 
理论 。 

信息 战 的 目的 是 夺取 信息 优势 ,其 核心 是 保护 己方 的 信息 资源 ,攻击 敌 方 的 信息 系统 ， 
是 全 方位 的 攻防 兼 有 的 信息 对 抗 行动 。 信 息 战 的 最 终 目标 是 信息 系统 赖 以 生存 和 运转 的 基 
础 一 一 计算 机 网 络 。 

信息 战 的 本 质 是 围绕 争夺 信息 控制 权 的 信息 对 抗 ,计算 机 病毒 可 以 作为 一 种 “以 毒 攻 
毒 ” 的 信息 对 抗 手段 。 

大 量 的 安全 事件 和 研究 成 果 揭 示 出 信息 系统 中 存在 许多 设计 缺陷 ,存在 情报 机 构 有 意 
埋伏 安全 陷阱 的 可 能 。 例 如 ,在 发 达 国 家 现 有 的 技术 条 件 下 ,CPU 中 可 以 植 入 无 线 发 射 接 
收 功能 ; 操作 系统 、 数 据 库 管理 系统 或 应 用 程序 中 能 够 预先 安置 从 事情 报 收集 、 受 控 激 发 破 
坏 功能 的 程序 。 通 过 这 些 程序 ,可 以 接收 特殊 病毒 .接收 来 自 网 络 或 空间 的 指令 ,触发 CPU 
的 自杀 功能 、 搜 集 和 发 送 敏感 信息 ; 通过 特殊 指令 在 加 密 操作 中 将 部 分 明文 隐藏 在 网 络 协 
议 层 中 传输 等 。 而 且 , 通 过 唯一 识别 CPU 个 体 的 序列 号 ,可 以 主动 ,准确 地 识别 .跟踪 或 攻 
击 一 个 使 用 该 芯片 的 计算 机 系统 ,根据 预先 设 定 收集 敏感 信息 或 进行 定向 破坏 。 

由 于 信息 系统 安全 的 独特 性 ,人 们 已 将 其 用 于 军事 对 抗 领域 。 目 前 信息 对 抗 理论 与 技 
术 主 要 包括 黑客 防范 体系 、 信 息 伪 装 理论 与 技术 ,信息 分 析 与 监控 、 入 侵 检 测 原理 与 技术 、 反 
击 方法 、 应 急 响应 系统 、 计 算 机 病毒 、 人 工 免 疫 系统 在 反 病毒 和 抗 人 侵 系 统 中 的 应 用 等 。 


1.1.1 信息 战 的 主要 内 容 


信息 战 的 内 容 涉及 在 信息 领域 中 战胜 被 攻击 对 象 的 所 有 行动 ,其 对 抗 的 双方 彼此 利用 
信息 技术 和 信息 武器 ,在 整个 信息 战 的 各 个 层面 .各 个 环节 针对 对 方 的 信息 目标 实施 有 效 的 
攻击 或 反攻 击 。 

信息 战 的 主要 内 容 包 括 信息 保障 、 信 息 防 护 和 信息 对 抗 。 

(1) 信息 保障 : 掌握 敌我 双方 准确 、 可 靠 和 完整 的 信息 ,及 时 捕获 信息 优势 ,为 信息 战 
提供 切实 可 行 的 依据 。 

(2) 信息 防护 : 在 敌 方 开始 对 我 方 实施 信息 攻击 时 ,为 确保 我 方 的 信息 系统 免 遭 破坏 
而 采取 的 一 系列 防御 性 措施 ,保护 我 方 的 信息 优势 不 会 受到 损害 。 

(3) 信息 对 抗 : 打击 并 挫 毁 敌 方 的 信息 保障 和 信息 保护 的 一 整套 措施 。 

其 中 信息 保障 是 关键 , 它 用 于 确保 信息 防护 措施 和 信息 对 抗 措施 的 有 效 运作 。 


1.1.2 信息 战 的 主要 形式 


信息 战 有 多 种 分 类 方法 . 按 作战 性 质 可 以 分 为 信息 进攻 战 和 信息 防御 战 。 

1. 信息 进攻 战 

信息 进攻 战 由 信息 侦察 .信息 干扰 和 破坏 “ 硬 ” 武 器 的 打击 三 部 分 组 成 ,包括 偷窃 数据 、 
散播 错误 信息 ,否认 或 拒绝 数据 存 取 、 从 物理 上 摧毁 作为 数据 存储 和 分 发 的 部 分 磁盘 及 武器 
平台 与 设施 。 
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2. 信息 防御 战 

信息 防御 战 指 针对 敌人 可 能 采取 的 信息 攻击 行为 ,采取 强 有 力 的 措施 保护 己方 的 信息 
系统 和 网 络 , 从 而 保护 信息 的 安全 。 

信息 战 防御 体系 由 信息 保护 、 电 磁 防 护 、 物 理 防护 三 大 方面 组 成 ,通过 使 用 病毒 检查 、 嗅 
探 器 、 密 码 和 网 络 安 全 系统 抵御 敌 方 的 进攻 。 

3. 信息 进攻 战 与 信息 防御 战 的 关系 

在 信息 化 战争 中 ,信息 进攻 手段 将 异彩 纷呈 ,信息 防御 虽然 会 水 涨 船 高 ,但 只 防 不 攻 ,很 
难 从 根本 上 取得 信息 优势 。 因 此 ,严密 的 信息 防御 也 必须 是 积极 主动 的 攻势 防御 ,只 有 将 信 
息 进攻 与 信息 防御 有 机 结合 起 来 ,以 攻 为 主 ,互相 支援 配合 ,才能 从 根本 上 夺取 信息 优势 。 

海湾 战争 中 ,由 于 伊拉克 军队 在 信息 对 抗 领域 的 指导 思想 是 一 味 采取 消极 防御 策略 , 尽 
管 其 隐藏 ,伪装 取得 了 一 定 的 成 效 , 但 由 于 没有 采取 积极 有 效 的 信息 进攻 策略 ,结果 在 多 国 
部 队 强 大 的 信息 攻势 面前 始终 摆脱 不 了 十 分 被 动 的 局 面 。 相 反 , 在 科索沃 战争 中 , 面 对 北 约 
强大 的 信息 攻势 ,处 于 信息 劣势 的 南 联盟 采取 隐蔽 .伪装 ,规避 、 控 制 等 信息 防御 的 同时 , 积 
极 主 动 地 采取 多 种 手段 ,与 北约 部 队 展开 信息 优势 的 争夺 ,结果 取得 了 包括 击落 F-117A 隐 
形 飞 机 和 大 量 巡 航 导 弹 的 战果 。 

要 打 赢 一 场 信息 战 ,关键 在 于 如 何 有 效 地 保障 自身 信息 系统 的 安全 性 。 因 此 ,在 信息 战 
中 ,防御 占 9, 进 攻占 1。 


1.1.3 ”信息 战 的 主要 武器 


按照 作战 性 质 划 分 ,信息 战 的 主要 武器 分 为 进攻 性 信息 战 武器 和 防御 性 信息 战 武器 两 
大 类 。 

进攻 性 信息 战 武器 或 技术 主要 有 计算 机 病毒 .蠕虫 .特洛伊 木马 .逻辑 炸弹 .芯片 陷 
阱 纳米 机 器 人 \ 芯 片 微生物 .电子 干扰 高 能 定向 武器 .电磁 脉冲 炸弹 、 信 息 欺 骗 和 密码 
破译 等 。 

防御 性 信息 战 武器 和 技术 主要 有 密码 技术 .计算 机 病毒 检测 与 清除 技术 、 网 络 防 火 墙 、 
信息 设施 防护 .电磁 屏蔽 技术 、 防 窃听 技术 .大 型 数据 库 安全 技术 访问 控制 .审计 跟踪 、 信 息 
隐蔽 技术 .入侵 检测 系统 和 计算 机 取证 技术 等 。 

1. 软件 武器 

软件 武器 主要 包括 计算 机 病毒 .逻辑 炸弹 和 特洛伊 木马 。 

1999 年 以 来 ,全 球 爆 发 的 梅 利 莎 、CIH 病毒 等 ,使 世界 各 地 不 少 电脑 系统 遭 到 破坏 , 损 
失 巨 大 ,这 实际 上 就 是 信息 战 的 一 种 形式 一 一 计算 机 病毒 战 ,而 这 些 武 器 的 生产 都 是 在 民间 
进行 的 ,至 少 名 义 上 是 ,目前 还 没有 哪 一 个 国家 敢 承 认 它 是 这 些 病毒 的 制造 者 。 

1990 年 海湾 战争 时 期 ,美军 把 具有 神经 网 络 细胞 式 的 自我 变异 功能 的 病毒 程序 注入 伊 
拉克 国家 通信 网 接口 ,在 美军 正式 进攻 前 ,伊拉克 情报 系统 有 一 半 的 计算 机 遭 到 破坏 ,甚至 
连战 斗 机 上 的 计算 机 也 感染 了 该 病毒 。 

2. 芯片 陷阱 

对 计算 机 芯片 进行 修改 ,使 芯片 有 优先 接受 特定 指令 的 能 力 , 只 要 卫星 系统 发 出 命令 ， 
使 用 这 些 芯 片 的 信息 系统 就 会 发 生 逻 辑 错误 甚至 崩溃 。 
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海湾 战争 爆发 前 不 久 ,美国 派 特 工人 员 偷 偷 用 一 套 带 有 计算 机 病毒 的 同类 芯片 换 下 了 
伊拉克 购买 的 电脑 打印 机 中 的 芯片 。 战 争 爆发 后 ,美国 用 指令 激活 了 伊拉克 防空 系统 电脑 
打印 机 内 的 计算 机 病毒 ,病毒 通过 打印 机 侵入 防空 系统 的 电脑 中 ,使 整个 防空 系统 的 电脑 陷 
于 瘫痪 。 

3. 纳米 机 器 人 和 芯片 微生物 

纳米 机 器 人 是 一 些 外 形 类 似 黄蜂 和 苍蝇 ,会 飞 ` 会 爬 的 纳米 系统 ,可 以 被 导弹 或 炸弹 等 
武器 投放 到 敌人 信息 系统 或 武器 系统 附近 ,通过 缝隙 或 插口 钻 进 计算 机 ,破坏 电子 线路 ,如 
图 1-1 所 示 。 

芯片 微生物 是 经 过 特殊 培育 的 ,能 毁坏 
计算 机 硬件 的 一 种 细菌 , 它 通 过 某 种 途径 进 
入 计算 机 ,能 像 乔 噬 垃 圾 和 石油 废料 的 微 生 
物 一 样 , 嗜 食 硅 集成 电路 ,对 计算 机 造成 
破坏 。 

4. 高 能 定向 武器 

高 能 定向 武器 对 电子 目标 发 射 高 能 无 线 
电信 号 ,使 其 功能 失灵 ,如 高 能 射频 枪 。 


3 
i 


高 能 射频 枪 是 一 种 无 线 电 发射 机 ,可 以 图 1-1 血液 中 的 纳米 机 器 人 
对 一 个 电子 目标 发 射 大 功率 无 线 电 信号 ,使 
其 对 外 部 磁场 敏感 的 电子 线路 出 现 电 路 超载 ,发 生 故 障 ,从 而 使 遭 到 攻击 的 信息 系统 无 法 工 
作 ,甚至 使 整个 网 络 系统 失灵 ,如 图 1-2 所 示 。 

5. 电磁 脉冲 炸弹 


另 一 种 摧毁 性 武器 就 是 能 量 比 高 能 射频 枪 大 ,以 光速 发 射出 去 的 电磁 脉冲 ,使 受 攻击 的 
计算 机 内 部 元 件 熔化 。 

电磁 脉冲 炸弹 可 以 有 效 地 破坏 和 干扰 敌 方 的 计算 机 及 网 络 等 电子 通信 设备 , 它 产生 的 
超 强 电 磁场 ,足以 破坏 任何 计算 机 设备 ,如 图 1-3 所 示 。 


图 1-2 高 能 定向 武器 图 1-3 电磁 脉冲 炸弹 


电磁 大 徐 炸 是 科索沃 战争 采用 的 手段 之 一 ,通过 电磁 干扰 ,使 得 南斯拉夫 的 防空 系统 陷 
于 瘫痪 状态 ,无 法 积极 有 效应 战 , 处 于 被 动 挨 炸 的 地 步 。 
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1.1.4 ”信息 战 的 种 类 


信息 战 包括 指挥 与 控制 战 、 情 报 战 . 电 子 战 .网 络 战 .心理 战 .空间 控制 战 .黑客 战 、 虚 拟 

电子 战 部 队 利用 通信 对 抗 、 雷 达 对 抗 、 光 电 对 抗 、 空 间 对 抗 等 各 种 电子 战 手 段 ,对 敌人 的 
战场 指挥 系统 和 武器 控制 系统 进行 强烈 的 干扰 。 使 敌人 变 成 “合子 ”“ 瞎 子 ”" 和 “傻子 ”, 全 面 
丧失 战斗 力 。 

网 络 战 部 队 利用 有 线 注入 \ 无 线 注 入 等 各 种 手段 ,将 病毒 植 人 敌 方 的 网 络 之 中 。 不 但 能 
使 敌人 的 战场 指挥 网 络 失灵 ,更 能 使 敌国 金融 混乱 、 股 市 骨 溃 交通 瘫 疼 , 经 济 全 面 衰退 , 直 
至 完全 丧失 抵抗 能 力 。 

心理 战 部 队 利用 各 种 现代 信息 传播 手段 ,以 前 所 未 有 的 速度 、 无 所 不 在 的 广度 、 对 敌人 
进行 全 方位 的 心理 攻击 ,使 敌人 军心 澳 散 、 民 心动 授 、 斗 志 形 失 ,精神 崩溃 。 


1.2 电子 战 


电子 战 , 也 叫 电 磁 战 ,是 利用 电磁 频谱 进行 的 斗争 和 对 抗 。 其 对 抗 的 基本 形式 是 侦察 与 
反 侦 察 .干扰 与 反 和 干扰、 摧毁 与 反 摧毁 。 目 的 在 于 削弱 、 破 坏 敌 方 电子 设备 的 使 用 效能 和 保 
护 已 方 电子 设备 正常 发 挥 效能 。 

电子 战 是 随 着 电子 武器 装备 的 发 展 而 发 展 的 。 无 线 电 的 发 明 并 应 用 于 军事 ,出 现 了 窃 
听 与 反 窍 听 破译 与 反 破译 的 装备 与 对 抗 ; 伴随 雷达 的 发 明 与 发 展 , 出 现 了 雷达 探测 与 反 探 
测 的 对 抗 ; 光电 技术 在 装备 上 的 应 用 ,出 现 了 光电 对 抗 ; 计算 机 技术 的 飞速 发 展 , 出 现 了 计 
算 机 网 络 的 对 抗 。 

信息 时 代 的 电子 战 ,其 频谱 范围 已 从 无 线 电 射频 扩展 到 声波 、 光 波 频段 ,电子 战 的 作战 
领域 也 已 经 扩展 到 深海 和 太空 。 原 来 以 通信 和 雷达 对 抗 为 主 的 电子 战 ,发 展 到 现代 战场 指 
挥 \ 控 制 \ 通 信和 ,计算机 与 情报 、 监 视 、 侦 察 (Command、Control、Communication、Computer 
& Intelligence、Surveillance、Reconnaissance,C4ISR) 系 统 之 间 的 整体 对 抗 。 电 子 战 手 段 也 
由 以 软 杀 伤 为 主 , 发 展 到 软 杀 伤 和 硬 摧毁 相 结 合 。 它 以 最 广泛 的 渗透 性 进入 军事 斗争 的 各 
个 领域 ,成 为 未 来 信息 战场 的 核心 和 支柱 。 


1.2.1 电子 战 的 历史 


人 类 战争 史上 比较 公认 的 第 一 次 电子 战 出 现在 1904 年 2 月 的 日 俄 战争 中 ,日 方 试图 通 
过 无 线 电 通信 把 正确 的 射击 指令 传送 给 装甲 巡洋舰 。 然 而 ,俄国 基地 的 一 个 报 务 员 听 到 了 
日 方 舰艇 之 间 正 在 进行 信息 交换 ,意识 到 了 它 的 重要 性 ,本 能 地 按 下 了 当时 无 线 电 通信 设备 
的 火花 发 射 机 的 按键 ,对 日 方 舰艇 之 间 的 通信 实施 了 干扰 。 结 果 在 那天 的 海战 中 ,由 于 日 方 
的 正确 射击 指令 受到 了 干扰 ,俄国 军舰 几乎 无 一 损伤 。 

第 二 次 世界 大 战 之 后 ,雷达 技术 得 到 迅速 发 展 ,雷达 的 探测 距离 .跟踪 精度 ,分辨 能 力 都 
有 了 进一步 的 提高 ,飞机 、 导 弹 、 卫 星 舰艇、 火炮 都 装备 了 先进 的 雷达 。 人 们 针对 雷达 制导 
系统 研制 出 了 各 种 欺骗 干 扰 装 备 和 器 材 ,还 研制 出 了 专门 对 付 雷 达 的 反 辆 射 导弹 ,以 及 专门 
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用 于 电子 对 抗 的 电子 战 飞机 。 

20 世纪 60 年 代 ,越南 战争 初期 , 越 军 平均 发 射 2 一 3 枚 地 对 空 导弹 就 能 击落 1 架 美 军 
飞机 。20 世纪 70 年 代 , 由 于 美军 在 飞机 上 安装 了 雷达 报警 接收 机 ,部 署 了 反 辐 射 导弹 ,还 
使 用 了 杂 波 干扰 机 , 越 军 平均 发 射 70 一 80 枚 导弹 才能 打 落 1 架 美 国 飞机 。 

1982 年 6 月 的 贝 卡 谷地 作战 是 一 次 典型 的 电子 战 。 战 斗 开始 前 ,以 色 列 派 了 一 些 无 人 
机 到 叙利亚 阵地 上 空 飞行 。 无 人 机 经 过 了 特殊 伪装 并 装 有 防空 设备 ,这 种 无 人 机 本 身 反 射 
面积 很 小 ,雷达 回 波 反射 信号 比较 弱 , 但 加 装 了 一 些 角 反 射 器 之 类 的 装置 ,使 得 反射 面积 增 
大 ,信号 增强 。 叙 利 亚 误 以 为 大 型 飞机 来 攻击 ,于 是 开动 制导 雷达 。 无 人 机 测 到 了 导弹 系统 
的 一 些 参 数 , 如 频率 参数 ,同时 也 侦察 到 了 叙利亚 导弹 阵地 的 位 置 。 以 色 列 第 一 步 先 取得 信 
息 ,第 二 步 就 发 动 攻击 。 攻 击 时 ,最 高 一 层 是 预警 飞机 ,作为 空中 指挥 ; 第 二 层 是 作为 护航 
的 F-15; 最 底层 是 攻击 地 面目 标的 F-16。 以 军 攻 击 前 首先 派 无 人 机 引诱 导弹 阵地 开机 。 
导弹 阵地 开机 后 ,以 色 列 发 射 反 辐射 导弹 。 就 这 样 ,以 色 列 一 举 摧毁 了 叙利亚 19 个 导弹 阵 
地 和 几 十 架 作战 飞机 。 

1982 年 5 月 25 日 ,阿根廷 的 斯 坦 利 雷达 站 发 现 英 军 的 “竞技 神 ” 号 航空 母 舰 在 马 岛 东 
北方 约 120 海里 处 活动 。 阿 根 廷 2 架 * 超 级 军旗 ”飞机 立即 起 飞 , 向 英 军 * 竞 技 神 号 航空 母 
舰 发 射 了 2 枚 “飞鱼 "导弹 。 几 个 月 前 ,就 是 这 种 “飞鱼 " 导 弹 , 取 得 了 将 英国 “ 谢 菲 尔 德 "号 驱 
逐 舰 艇 击 沉 的 辉煌 战绩 ,但 这 次 “飞鱼 "导弹 却 失 去 了 往日 的 光环 。 吃 过 苦头 的 英国 人 在 “ 飞 
鱼 ” 导 弹 袭 来 时 ,立即 发 射 大 量 的 箱 条 干扰 火箭 ,形成 了 一 道 浓 浓 的 干扰 云 。 就 是 这 突然 出 
现 的 干扰 云 ,使 “飞鱼 ”看 花 了 眼 ,其 制导 系统 分 不 清 哪 个 是 真 ,哪个 是 假 ,结果 两 枚 导弹 都 偏 
离 了 目标 。 马 岛 之 战 ,充分 显示 了 电子 战 的 巨大 作用 。 

1991 年 海湾 战争 结束 后 ,人 们 总 结 这 场 战争 的 特点 是 陆 \ 海 , 空 、 天 、 电 五 维 一 体 。 电 子 
战 过 去 一 直 是 战场 上 的 配角 ,海湾 战争 中 竟然 与 陆 战 .海战 .空战 .天 战 平起平坐 ,成 为 第 五 
维 战场 。 海 湾 战争 的 实践 表明 ,电子 战 在 信息 化 战争 中 具有 十 分 重要 的 地 位 和 作用 。 海 湾 
战争 作为 首次 信息 化 战争 ,电子 战 既 充 当 了 战争 的 “先行 官 ”", 又 作为 战争 的 主力 军 ,贯穿 于 
战争 的 始终 ,成 为 真正 的 关键 角色 ,使 人 们 对 它 刮目相看 。 


1.2.2 电子 战 的 攻防 


目前 电子 战 武器 已 发 展 为 两 大 类 。 一 类 为 电子 战 软 杀伤 武器 ,包括 各 种 信息 侦察 设备 、 
干扰 设备 .欺骗 设备 以 及 计算 机 病毒 等 ; 一 类 为 电子 战 硬 摧毁 武器 ,包括 各 种 反 辐 射 导 弹 、 
反 辐 射 无 人 机 、 电 磁 脉 冲 弹 等 武器 。 

1. 电子 攻击 战 

利用 电子 战 手段 ,对 敌 方 的 信息 网 络 接收 设备 实施 干扰 和 压制 ,是 破坏 敌 方 进行 电磁 信 
息 交 换 的 主要 战 法 ,可 人 迫使 敌 方 电磁 信息 设备 无 法 有 效 地 接收 和 处 理 战 场 信息 , 变 成 战场 上 
的 “上 暑 子 ”和 “谷子 ”。 

这 种 战 法 在 20 世纪 局 部 战争 中 获得 了 广泛 的 应 用 。 越 南 战争 期 间 ,美军 采用 雷达 干扰 
压制 ,使 其 作战 飞机 的 损失 率 由 初期 的 14% 下 降 到 后 期 的 1.4%, 约 340 架 飞 机 免 遭 击落 。 
在 贝 卡 谷 地 战斗 中 ,以 色 列 使 用 干扰 压制 方法 ,一 举 摧毁 了 叙利亚 19 个 防空 导弹 阵地 ,击落 
其 80 架 战 斗 机 ,而 己方 却 没 损失 一 架 飞 机 。 

在 信息 对 抗 的 要 求 下 ,大 规模 破坏 对 方 电子 系统 的 武器 应 运 而 生 , 如 电磁 脉冲 弹 、 电 力 
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干扰 弹 等 。 

电磁 脉冲 弹 可 以 在 瞬间 产生 大 范围 、 宽 波束 、 高 功率 的 电磁 脉冲 ,将 各 种 电子 设备 中 的 
敏感 电子 器 件 统统 烧毁 。 电 磁 脉 冲 弹 的 出 现 ,将 使 所 有 以 电子 技术 为 核心 的 高 技术 武器 装 
备 面 临 前 所 未 有 的 考验 。 

电力 干扰 弹 在 高 压 线 和 变电站 上 空 炸 开 后 ,大 面积 的 导电 纤维 丝 散 布 开 来 ,降落 在 高 压 
线 上 ,造成 大 面积 .长 时 间 的 停电 事故 。 美 军 在 海湾 战争 中 通过 * 战 斧 导 弹 携 带 这 种 " 碳 纤 
维 ? 弹 头 ,在 伊拉克 的 7 座 发 电厂 上 空 爆炸 ,使 巴格达 一 片 漆黑 。 

2. 电子 防守 战 

未 来 的 信息 作战 ,一 方 必 将 充分 运用 其 先进 的 信息 网 络 系统 ,对 另 一 方 实施 全 方位 、 全 
天 候 的 信息 攻击 。 为 有 效 地 防护 敌 方 的 信息 攻击 ,可 以 采用 隐蔽 频谱 、 隐 项 电文 .干扰 掩护 
等 手段 。 

隐蔽 频谱 : 采用 随机 多 址 通信 、 扩 频 通 信 、 跳 频 通 信 等 技术 手段 ,减少 频谱 的 泄密 。 

隐蔽 电文 : 充分 利用 电子 加 密 技 术 , 特 别 是 利用 计算 机 技术 ,在 保密 通信 中 的 控制 、 检 
验 、 识 别 、 密 钥 分 配 及 加 密 .解密 等 环节 ,为 电磁 信息 的 密 化 提供 有 利 的 条 件 。 

干扰 掩护 : 利用 电子 干扰 手段 ,使 某 一 特定 环境 内 或 某 一 方向 上 ,己方 电磁 能 量 达 到 信 
息 接 收 设 备 所 能 允许 的 电磁 兼容 限度 ,以 掩护 己方 电磁 信息 不 被 敌 方 识别 。 在 对 越 自 卫 反 
击 作战 中 ,我 军 为 保护 通信 频率 ,在 通信 频率 附近 发 射 干扰 信号 , 曾 多 次 成 功 地 掩护 了 我 军 
的 通信 。 


1.2.3 电子 战 的 发 展 


电子 战 已 经 走 过 了 整整 100 年 的 历史 , 留 下 了 一 串 串 耀眼 夺目 的 光辉 。 它 从 一 开始 的 
战争 辅助 手段 ,一 跃 成 为 现代 战争 的 主角 ,引起 世界 各 国 军事 家 的 高 度 重视 。 随 着 科学 技术 
的 飞速 发 展 ,武器 装备 的 电子 化 程度 必然 越 来 越 高 ,电子 战 的 技术 装备 越 来 越 走 向 尖端 ,21 
世纪 的 电子 战 将 更 加 激烈 。 

21 世纪 电子 战 所 利用 的 频谱 将 向 全 频谱 扩展 。 随 着 电子 技术 的 发 展 ,电子 对 抗 的 范围 
在 频谱 上 已 大 大 超过 以 往 只 限于 射频 范围 的 概念 ,迅速 向 两 端 扩 展 ,也 就 是 向 低 端的 声 频 和 
高 端的 光 频 扩展 ,使 电子 对 抗 既 有 射频 对 抗 还 有 光学 对 抗 、 声 学 对 抗 。 目 前 ,军事 电子 技术 
所 利用 的 频谱 已 经 覆盖 了 低频 、 短 波 、 微 波 、 毫 米 波 、 红 外 、 可 见 光 等 全 部 频谱 。 

21 世纪 的 电子 战 将 重点 发 展 网 络 对 抗 . 计 算 机 病毒 武器 ,传统 的 电子 对 抗 技术 也 将 不 
断 向 高 新 方向 发 展 。 无 源 干 扰 技术 如 销 条 、 干 扰 丝 等 ,是 廉价 有 效 、 易 行 的 干扰 技术 ,将 继 
续 被 采用 。 新 技术 新 材料 的 发 展 使 干扰 稍 条 和 干扰 丝 在 材料 上 不 断 更 新 ,从 而 更 具 威 力 。 
目前 ,用 镀 铝 、 镀 锌 、 镀 银 的 玻璃 丝 , 涤 纶 丝 , 尼 龙 丝 代替 以 前 的 锡 、 锌 、 铝 等 稍 条 ,可 以 增加 在 
空中 滞留 的 时 间 ,增强 干扰 效果 。 新 发 明 的 复合 稍 条 将 微波 、 毫 米 波 反射 型 材料 等 结合 起 
来 ,形成 可 干扰 红外 、 可 见 光 、 微 波 等 宽频 带 干扰 物 。 干 扰 稍 条 从 结构 上 设计 出 了 干扰 球 、 金 
属 体 和 干扰 强 等 新 类 型 的 干扰 物 ,可 对 雷达 、 红 外 和 微波 进行 复合 干扰 。 

21 世纪 的 电子 战 装备 将 向 系统 化 、 系 列 化 、 软 硬 武 器 一 体 化 ,标准 化 和 模块 化 方向 发 
展 。 因 此 ,21 世纪 的 电子 战 必 将 异常 激烈 ,异常 复杂 。 谁 能 够 赢得 制 电 磁 权 , 谁 就 将 在 未 来 
战争 中 稳 操 胜 券 ,这 已 为 各 国 军事 家 们 所 公认 。 
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1.3 网 络 战 


计算 机 网 络 是 信息 对 抗 双 方 借 以 争夺 信息 优势 的 制高点 。 对 抗 双方 均 可 采用 多 种 手段 
冯 入 对 方 的 计算 机 网 络 ,实现 其 攻击 目的 。 对 于 进攻 方 而 言 , 利 用 网 络 进行 计算 机 病毒 攻 
击 ` 阻 塞 网 络 .拒绝 服务 ; 对 于 防御 方 来 说 , 则 有 抗 病毒 ,人 侵 检测 等 反击 手段 和 措施 。 

经 过 三 十 多 年 的 发 展 , 今 天 的 Internet, 已 经 从 最 初 的 4 个 节点 变 成 了 连接 千 百 万 个 网 
络 的 信息 高 速 公路 。 似 乎 就 在 一 夜 之 间 , 人 们 突然 发 现 自己 已 经 置身 网 中 ,网 上 办 公 、 网 上 
购物 .网 上 聊天 、 网 上 炒股 ,真是 无 “网 ”不 在 ,无 “网 ”不 能 ,无 “网 ”而 不 胜 。 然 而 ,与 历史 上 其 
他 科技 革命 一 样 ,Internet 对 人 类 社会 同样 具有 双重 作用 。 它 既 编织 了 五 彩 缤纷 的 网 络 生 
活 , 也 引发 了 前 所 未 有 的 网 络 战争 。 

多 年 以 来 ,美国 不 仅 将 网 络 空 间 提升 到 国家 安全 、 经 济 安全 的 高 度 ,还 将 网 络 空 间 视 为 
新 军事 领域 ,极力 建立 并 维持 美军 的 优势 地 位 。 在 互联 网 迅猛 发 展 的 今天 ,美国 正 试图 独占 
全 球 网 络 空间 霸主 地 位 ,并 一 手 制定 网 络 战争 游戏 规则 ,以 抢占 未 来 网 络 战争 制高点 。 

2010 年 5 月 ,美军 建立 网 络 司令 部 ; 2011 年 5 月 16 日 ,美国 公布 了 《网 络 空 间 国际 战 
略 报告 》, 首 次 清晰 制定 了 美国 针对 网 络 空间 的 全 盘 国际 政策 ,扬言 不 惜 用 武力 护 网 ; 7 月 
再 次 发 布 (网 络 空 间 行动 战略 ), 变 被 动 防御 为 主动 防御 ,明确 了 美国 的 网 络 战 进攻 思想 。 
2013 年 6 月 ,前 CIA 职员 爱德华 .斯 诺 登 曝光 了 美国 国家 安全 局 的 “棱镜 ”项目 , 过 去 6 年 
间 ,美国 国家 安全 局 和 联邦 调查 局 通过 进入 微软 .谷歌 .苹果 、 雅 虎 等 9 大 网 络 巨头 的 服务 
器 ,监控 电子 邮件 、 聊 天 记录 视频 及 照片 等 秘密 资料 ,如 图 1-4 所 示 。 


可 以 使 情报 人 员 通 过 “后 门 ” 进 入 
10 家 主要 科技 公司 的 服务 器 


Micros 


图 1-4 “棱镜 "项目 
1.3.1 计算 机 病毒 战 
由 于 计算 机 病毒 所 具有 的 传染 性 ,潜伏 性 和 巨大 的 破坏 性 ,使 得 计算 机 病毒 能 够 作为 一 
种 向 计算 机 网 络 内 部 实施 攻击 的 进攻 性 信息 武器 。 


计算 机 病毒 战 有 两 种 进攻 手段 : 第 一 种 是 “病毒 芯片 ”, 将 病毒 固化 在 集成 电路 里 面 ,一 
且 战 时 需要 , 便 可 遥控 激活 。 第 二 种 是 “病毒 枪 ”, 通 过 无 线 电波 把 病毒 发 射 注入 敌 方 电子 系 
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统 。 病 毒 的 无 线 注入 是 一 种 正在 研究 的 最 新 技术 ,一旦 突破 , 它 将 使 网 络 战 的 面貌 发 生 重大 
的 变化 。 

1991 年 1 月 17 日 ,海湾 战火 刚刚 点 燃 , 伊 军 防空 指挥 系统 就 被 无 名 病毒 感染 ,致使 部 
分 防空 指挥 控制 系统 项 刻 间 处 于 瘫痪 状态 。 原 来 他 们 从 法 国 引 进 的 计算 机 上 的 主板 全 部 是 
由 美国 生产 的 ,计算 机 芯片 早已 被 设置 了 致命 的 病毒 。 空 袭 后 不 久 , 美 军 就 利用 无 线 遥 控 激 
活 了 这 些 病毒 , 它 像 一 柄 无形 利 剑 撕 开 了 伊拉克 的 防空 体系 。 这 是 病毒 武器 首次 用 于 实战 
并 取得 成 功 ,计算 机 病毒 战 的 作用 初 露 锋芒 。 

如 果 说 海湾 战争 中 的 网 络 战 是 小 试 锋芒 ,那么 科索沃 战争 则 使 网 络 战 正式 登 上 了 人 类 
的 战争 舞台 。 在 78 天 的 连续 艇 炸 中 , 南 联盟 经 历 了 20 世纪 最 为 惨烈 的 空袭 。 与 此 同时 ,在 
Internet 上 ,交战 双方 也 开辟 了 没有 硝烟 的 第 二 战场 。 美 军 专 门 召集 计算 机 专家 ,将 大 量 病 
毒 和 欺骗 性 信息 注入 南 军 计算 机 互联 网 络 和 通信 系统 ,以 阻塞 南 军 作战 信息 的 有 效 传播 。 
面 对 北约 的 网 络 攻击 , 南 联 盟 网 络 高 手 奋 起 反击 ,北约 的 电子 邮箱 每 天 都 收 到 2000 多 封 含 
有 宏 病 毒 的 电子 邮件 ,造成 了 邮件 服务 器 因 严 重 过 载 而 瘫痪 ; 白宫 的 网 络 服务 器 也 因为 这 
种 网 络 攻击 而 一 度 休 克 ; 北约 军队 的 战场 计算 机 系统 在 “ 梅 莉 莎 "“ 疯 牛 ” 等 病毒 的 围攻 下 ， 
造成 了 部 分 时 段 的 指挥 ,控制 和 通信 瘫痪 ,尤其 是 美 海 军 陆 战 队 各 作战 单元 的 电子 邮件 大 部 
分 被 阻塞 。 

2009 年 一 种 名 为 “ 震 网 ”(stuxnet) 的 蠕虫 病毒 在 伊朗 感染 了 超过 62 000 台电 脑 。“ 震 
网 ?病毒 的 特别 之 处 在 于 ,这 是 有 史 以 来 第 一 个 以 关键 工业 基础 设施 为 目标 的 蠕虫 病毒 。 总 
共 利 用 的 电脑 系统 漏洞 为 7 个 ,其 中 5 个 针对 Windows,2 个 针对 西门 子 公司 的 工业 控制 系 
统 SIMATIC WinCC, 如 图 1-5 所 示 。2009 年 上 半年 ,伊朗 官方 承认 在 纳 坦 效 (Natanz) 的 铀 
浓缩 设施 出 现 了 重大 核 安全 事故 ,伊朗 原子 能 机 构 主 管 Gholam Reza Aghazadeh 引咎 辞职 。 
整个 过 程 根据 外 媒 报道 犹如 一 部 科幻 电影 : 由 于 被 病毒 感染 ,监控 室 的 录像 被 算 改 。 监 控 
人 员 看 到 的 是 正常 无 异 的 画面 ,而 实际 上 核 设 施 里 的 离心 机 在 失控 的 情况 下 不 断 加 速 而 最 
终 损毁 。 


Malware dropper (on Windows PCs) Payload (on controllers) 


品 一 加 了 


Mission goal: Denial of nukes Target: Natanz FEP L 2 


M117: L LWO 


(a) 攻击 流程 分 析 (b) 15 000 行 攻击 代码 
图 1-5 Ralph Langner 在 TED 2011 上 对 震 网 的 分 析 


1.3.2 黑客 战 
黑客 战 是 网 络 战 的 另 一 种 对 抗 形式 。 训 练 有 素 的 黑客 们 能 够 轻而易举 地 间 人 对 方 的 计 
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算 机 网 络 ,施放 计算 机 病毒 ,窃取 其 敏感 信息 ,有 目的 地 改变 信息 内 容 , 使 被 攻击 方 对 接收 到 
的 信息 做 出 错误 的 判断 而 采取 错误 的 行动 。 

1995 年 9 月 18 日 ,美军 组 织 了 一 个 旨 在 夺取 大 西洋 舰队 控制 权 的 联合 军事 演习 ,最 后 
仅 用 一 个 普通 的 笔记 本 电脑 就 夺取 了 大 西洋 舰队 的 控制 权 。 在 这 次 演习 中 ,一 名 海军 信息 
战 专家 通过 一 根 电话 线 将 电脑 连 到 网 上 ,然后 把 调动 军舰 的 密码 指令 隐藏 在 电子 邮件 信息 
中 发 出 , 随 着 密码 指令 在 各 个 军舰 计算 机 中 的 不 断 传递 ,大 西洋 舰队 的 军舰 一 只 接 一 只 地 拱 
手 交 出 了 指挥 权 。 有 的 驶 向 其 他 海域 ,有 的 调头 到 别处 集结 ,有 的 原 地 不 动 ,有 的 向 海底 深 
潜 。 最 糟糕 的 是 ,舰队 的 指挥 官 们 对 这 一 切 却 浑 然 不 知 。 

黑客 们 利用 计算 机 系统 和 网 络 安全 结构 中 的 漏洞 ,采用 口令 入 侵 、 特 洛 伊 木马 、IP 欺骗 
等 多 种 技术 手段 ,实施 对 计算 机 系统 的 攻击 。 

黑客 所 用 的 特洛伊 木马 ,就 是 把 一 个 攻击 指令 程序 隐藏 在 某 一 合法 程序 中 。 当 用 户 触 
发 合法 程序 时 ,依附 在 合法 程序 中 的 攻击 指令 同时 被 激活 。 于 是 ,黑客 就 可 以 利用 这 些 木马 
程序 ,随心 所 欲 地 读 取 文件 , 算 改 数据 ,收集 密码 ,监视 用 户 的 所 有 操作 。 

黑客 的 男 一 种 手段 就 是 “网 络 嗅 探 "。 众 所 周知 ,计算 机 用 户 在 进入 自己 的 计算 机 系统 
时 ,最 先 输入 的 字符 是 核心 机 密 。 他 的 账号 .口令 和 登录 信息 一 般 都 存在 于 这 些 字符 串 中 。 
黑客 就 利用 这 个 规律 ,首先 找 出 网 络 系统 漏洞 ,然后 将 “ 嗅 探 ?程序 依附 在 被 攻击 的 主机 系统 
中 ,就 像 在 敌人 的 内 部 安插 了 一 个 间谍 。 这 样 ,黑客 就 能 以 合法 身份 在 对 方 网 络 系统 内 长 驱 
直人 ,为 所 欲 为 了 。 


1.4 心理 战 


信息 时 代 的 战争 ,胜利 已 经 不 再 以 消灭 对 方 的 人 员 多 少 ,占领 对 方 领土 多 少 为 标准 ,对 
敌人 不 是 要 打 死 ,而 是 要 打 怕 ,要 打 服 ,控制 敌人 成 为 最 主要 的 作战 目的 。 

心理 战 即 攻 心 战术 , 指 运 用 新 闻 导 向 ,流言 传播 ,与 论 造势 ,给 对 方 以 巨大 的 精神 压力 ， 
从 而 战胜 对 方 。 

1994 年 9 月 18 日 ,美国 出 兵 海地 的 谈判 就 是 这 样 一 个 成 功 的 战例 。 当 时 ,美国 代表 把 
笔记 本 电脑 打开 ,告诉 海地 代表 ,你 今天 不 同意 我 的 条 件 不 要 紧 ,你 看 我 的 整个 空袭 计划 , 整 
个 作战 行动 马上 就 要 开始 。 开 始 海 地 代表 不 大 相信 ,以 为 是 美国 人 虚 张 声势 ,可 是 几 分 钟 
后 ,电脑 屏幕 上 就 显示 出 美军 艇 炸 机 和 空降 部 队 乘 坐 的 大 型 运输 机 已 经 起 飞 的 镜头 。 这 时 
海地 代表 感到 了 怒 惧 ,因为 海地 一 共 只 有 几 千 部 队 , 经 不 住 美国 的 打击 ,于 是 他 们 只 好 同意 
了 美国 的 条 件 。 协 议 签 订 后 ,只 见 屏幕 上 的 美国 飞机 拐 了 一 个 弯 , 返 回 了 基地 。 一 场 即 将 打 
响 的 战斗 ,就 这 样 在 电脑 屏幕 前 结束 了 。 

1999 年 的 波 黑 已 持续 了 四 年 多 的 战争 ,造成 了 20 多 万 人 死亡 ,200 多 万 人 流离 失 所 。 
国际 社会 为 结束 波 黑 战争 ,进行 了 不 懈 的 努力 ,但 是 ,和 平 的 进程 却 极为 艰难 。 这 时 ,美国 人 
为 了 不 损害 自己 的 利益 ,利用 计算 机 虚拟 现实 技术 ,将 穆 族 、 克 族 、 塞 族 三 方 所 提出 的 谈判 条 
件 ,特别 是 用 于 讨价还价 的 军事 实力 和 作战 部 署 及 其 装备 数量 等 无 一 遗漏 地 进行 了 综合 对 
比 演示 。 剑 拔 奴 张 的 三 方 代表 ,同时 看 到 了 这 些 信息 ,意识 到 这 样 争斗 下 去 ,必然 是 三 败 俱 
伤 , 谁 也 得 不 到 便宜 ,于 是 只 好 握手 言 和 。 
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1.5 情报 战 


在 信息 化 战争 中 ,情报 战 是 一 种 十 分 重要 的 作战 形式 。 因 为 从 本 质 上 来 说 ,信息 化 战争 
的 核心 就 是 围绕 信息 的 获取 权 、 控 制 权 和 使 用 权 的 争夺 与 对 抗 。 其 中 信息 获取 权 的 争夺 与 
对 抗 既是 整个 信息 争夺 与 对 抗 的 重要 组 成 部 分 ,也 是 它 的 先导 。 不 能 有 效 地 获取 信息 ,不 能 
有 效 地 掌握 信息 获取 权 , 就 谈 不 上 掌握 对 信息 的 控制 权 和 使 用 权 。 

现代 情报 手段 形形色色 ,从 陆地 侦察 到 太空 侦察 ,无 所 不 有 。1973 年 , 埃 军 强渡 苏伊士 
运河 ,使 以 军 几乎 陷入 绝望 境地 。 在 这 生死 存亡 的 紧急 时 刻 , 以 军 利用 美国 “大 鸟 ” 侦 察 卫 
星 ,发 现在 埃 军 第 2 军 、 第 3 军 结合 部 有 薄弱 环节 ,存在 10km 的 间隙 。 以 色 列 立即 派出 一 支 
部 队 , 从 埃 两 军 间 实施 穿插 , 抄 了 埃 军 的 后 路 ,并 摧毁 了 埃 军 用 防空 导弹 筑 造 的 “空中 屏障 ”, 从 
而 一 举 扭转 了 败局 。 从 中 可 以 看 出 ,现代 高 技术 情报 手段 对 战争 的 胜 负 具有 重要 的 意义 。 

科学 技术 的 发 展 和 手段 的 更 新 始终 是 作战 样式 发 展演 变 的 重要 动力 ,现代 科学 技术 的 
- 些 新 突破 为 情报 战 提供 了 更 加 先进 和 有 效 的 手段 与 工具 。 

被 人 们 称 为 21 世纪 关键 技术 之 一 的 纳米 技术 的 突破 就 为 现代 情报 战 提供 了 一 些 前 所 
未 有 的 新 手段 和 新 工具 。 如 只 有 苍蝇 和 蜜蜂 大 小 的 微型 间谍 飞行 器 ,可 以 自主 飞 到 目标 上 
空 或 附 在 目标 之 上 ,利用 所 载 的 微型 探测 装置 实施 侦察 监视 ; 无 法 分 辨 的 “间谍 草 ”, 内 装 各 
种 灵敏 的 电子 侦察 仪器 .照相 机 和 感应 器 ,具有 像 人 眼 一 样 的 “视力 ”可 以 探测 出 数 百 米 外 
坦克 等 目标 运动 时 的 震动 和 声音 ,并 将 情报 准确 传 回 总 部 ,如 图 1-6 所 示 。 


(a) 蜜蜂 侦察 机 (b) 机 器 昆虫 
1-6 仿生 电子 侦查 仪 


显然 ,这 些 新 型 情报 战 手 段 和 工具 的 出 现 与 使 用 将 使 信息 化 战争 的 面貌 发 生 彻 底 的 改变 。 


1.6 理想 战争 模式 


《理想 战争 ) 一 书 中 描述 了 理想 战争 模式 : 理想 战争 就 是 对 人 类 破坏 力 最 小 的 战争 , 理 
想 战 争 是 依托 国家 综合 实力 和 最 新 高 科技 进行 的 战争 。 
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书 中 设计 了 10 种 以 零 死 亡 为 目标 的 理想 战争 模式 : 机 器 人 战争 ,克隆 人 战争 ,领导 人 
战争 ,啤酒 瓶 战争 ,外 星球 战争 ,虚拟 战争 ,鸦片 战争 ,思想 战争 ,传媒 战争 ,思维 战争 。 他 还 
设计 了 一 些 保证 理想 战争 模式 实施 而 出 现 的 一 些 新 的 社会 现象 : 互联 网 国家 ,科学 家 战士 ， 
决策 者 先 死 ,战争 锦标 赛 ,战争 俱乐部 ,新 大 众 产业 等 。 如 图 1-7 所 示 的 是 英美 用 于 作战 的 
机 器 人 。 


(a) 英国 的 拆 弹 机 器 人 (b) 美国 的 战场 机 器 人 
图 1-7 作战 机 器 人 


理想 战争 这 一 重大 命题 的 提出 ,标志 着 我 国 对 战争 的 研究 进入 了 一 个 新 的 境界 : 我 们 
研究 战争 的 目的 是 为 了 熟悉 战争 . 打 赢 战争 .遏制 战争 ,不 是 以 无 限 增 大 战争 的 危险 性 和 破 
坏 性 来 赢得 战争 ,而 是 以 最 小 的 破坏 力 打 赢 战争 ,抑制 霸权 国家 的 战争 威胁 ,保持 世界 和 平 
力量 的 平衡 。 


习 题 


. 什么 是 信息 战 ? 

. 信息 战 主要 包含 哪些 内 容 ? 
.信息 战 的 主要 形式 有 哪些 ? 
.信息 战 有 哪些 主要 武器 ? 

. 简 述 信息 战 的 种 类 。 

. 什么 是 电子 战 ? 

. 网 络 战 的 形式 有 哪些 ? 

. 心理 战 和 情报 战 在 信息 化 战争 中 有 什么 作用 ? 
. 理想 战争 的 目标 是 什么 ? 


iD oo 四 思 上 oo 
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公元 前 405 年 ,雅典 和 斯 巴 达 之 间 的 伯 罗 奔 尼 撤 战争 已 进入 尾声 。 斯 巴 达 军队 逐渐 占 
据 了 优势 地 位 ,准备 对 雅典 发 动 最 后 一 击 。 这 时 ,原来 站 在 斯 巴 达 一 边 的 波斯 帝国 突然 改变 
态度 ,停止 了 对 斯 巴 达 的 援助 ,意图 使 雅典 和 斯 巴 达 在 持续 的 战争 中 两 败 俱 伤 ,以 便 从 中 渔 
利 。 在 这 种 情况 下 ,斯 巴 达 急需 摸 清 波 斯 帝国 的 具体 行动 计划 ,以 便 采取 新 的 战略 方针 。 

正在 这 时 ,斯 巴 达 军队 捕获 了 一 名 从 波斯 帝国 回 雅 典 送 信 的 雅典 信使 。 斯 巴 达 士兵 仔 
细 搜 查 了 这 名 信使 ,可 搜查 了 好 大 一 阵 , 除 了 从 他 身上 搜 出 一 条 布 满 杂 乱 无 章 的 希腊 字母 的 
普通 腰带 外 , 别 无 他 获 。 情 报 究 竞 藏 在 什么 地 方 呢 ? 斯 巴 达 军队 统帅 莱 桑 德 把 注意 力 集中 
到 了 那 条 腰带 上 ,情报 一 定 就 在 那些 杂乱 的 字母 之 中 。 他 反复 琢磨 研究 这 些 天 书 似 的 文字 ， 
把 腰带 上 的 字母 用 各 种 方法 重新 排列 组 合 ,怎么 也 解 不 出 来 。 最 后 , 莱 桑 德 失去 了 信心 ,他 
一 边 摆弄 着 那 条 腰带 ,一 边 思考 着 弄 到 情报 的 其 他 途径 。 当 他 无 意 中 把 腰带 呈 螺 旋 形 缠绕 
在 手中 的 剑 精 上 时 ,奇迹 出 现 了 。 原 来 腰带 上 那些 杂乱 无 章 的 字母 , 竟 组 成 了 一 段 文字 。 这 
便 是 雅典 间谍 送 回 的 一 份 情报 , 它 告诉 雅典 ,波斯 军队 准备 在 斯 巴 达 军队 发 起 最 后 攻击 时 ， 
突然 对 斯 巴 达 军队 进行 袭击 。 斯 巴 达 军队 根据 这 份 情 报 马上 改变 了 作战 计划 , 先 以 迅雷 不 
及 掩 耳 之 势 攻击 毫 无 防备 的 波斯 军队 ,并 一 举 将 它 击 溃 , 解 除了 后 顾 之 忧 。 随 后 ,斯 巴 达 军 
队 回 师 征伐 雅典 ,终于 取得 了 战争 的 最 后 胜利 。 

雅典 间谍 送 回 的 腰带 情报 ,就 是 世界 上 最 早 的 密码 情报 ,具体 运用 方法 是 ,通信 双方 首 
先 约定 密码 解读 规则 ,然后 通信 一 方 将 腰带 (或 羊皮 等 其 他 东西 ) 缠 绕 在 约定 长 度 和 粗细 的 
木 棍 上 书写 。 收 信 一 方 接 到 后 ,如 不 把 腰带 缠绕 在 同样 长 度 和 粗细 的 木 要 上 ,就 只 能 看 到 一 
些 毫 无 规则 的 字母 。 后 来 ,这 种 密码 通信 方式 在 希腊 广 为 流 传 。 现 代 的 密码 电报 ,据说 就 是 
受 了 它 的 启发 而 发 明 的 。 

密码 技术 有 着 悠久 的 历史 ,4000 多 年 前 至 公元 14 世纪 ,是 古典 密码 技术 孕育 、 兴 起 和 
发 展 的 时 期 ,这 个 时 期 以 手工 作为 加 密 手 段 。 

16 世纪 前 后 ,广泛 地 采用 了 密 表 和 密 本 作为 密码 的 基本 体制 ,著名 的 维 吉 尼 亚 密 码 就 
是 其 中 一 例 。 这 一 时 期 的 加 密 手 段 发 展 到 机 械 手 段 ， 
20 世纪 30 年 代 后 出 现 了 更 为 复杂 而 精巧 的 转 轮 密码 
机 ,如 图 2-1 所 示 。 

20 世纪 50 年 代 至 今 ,是 传统 密码 学 新 的 高 水 平 发 
展 和 现代 密码 学 产生 与 研讨 时 期 。 这 一 时 期 最 具有 代 
表 性 的 两 大 成 就 为 : 加 密 标 准 DES 和 公开 密 钥 密码 体 
制 的 新 思想 。 

密码 学 的 诞生 及 其 发 展 , 是 人 类 文化 水 准 不 断 进 
步 的 一 个 具体 标志 。 近 十 几 年 来 ,混沌 理论 、 隐 显 密码 
学 、 基 于 DNA 的 信息 伪装 技术 正 处 于 探索 之 中 ,特别 
值得 一 提 的 是 ,物理 学 的 新 成 果 开 始 融 于 密码 技术 之 ”图 2-1 1926 发 明 的 Kryha 密码 机 
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中 : 量子 密码 和 量子 计算 机 的 研究 与 探讨 方兴未艾 ,这 将 是 密码 学 新 理论 ,新 技术 空前 繁荣 
的 又 一 个 阶段 。 


2.1 基本 概念 


密码 技术 是 实现 信息 安全 保密 的 核心 技术 ,采用 密码 技术 可 以 屏蔽 和 保护 需要 保密 的 
消息 。 研 究 密 码 技 术 的 学 科 称 为 密码 学 , 它 是 由 两 个 相互 对 立 、 相 互 依存 、 相 互 促进 的 分 支 
学 科 所 组 成 的 。 其 中 密码 编码 学 是 对 信息 进行 保密 的 技术 ,而 密码 分 析 学 则 是 破译 密 文 的 
技术 。 

2.1.1 明文 、 密 文 与 密 钥 


密码 学 是 以 研究 数据 保密 为 目的 ,对 存储 或 者 传输 的 信息 采取 加 密 变 换 , 以 防止 第 三 方 
窃取 信息 的 技术 。 

按照 加 密 算法 ,对 未 经 加 密 的 信息 进行 处 理 , 使 其 成 为 难以 读 懂 的 信息 ,这 一 过 程 称 为 
加 密 。 被 变换 的 信息 称 为 明文 , 它 可 以 是 一 段 有 意义 的 文字 或 者 数据 ; 变换 后 的 形式 称 为 
密 文 , 密 文 是 一 串 杂 乱 排 列 的 数据 ,字面 上 没有 任何 含义 。 

密 钥 用 于 控制 加 密 算法 完成 加 密 变 换 , 其 作用 是 避免 某 一 加 密 算法 把 相同 的 明文 变 成 
相同 的 密 文 。 即 使 明文 相同 .加密 算 法 相同 ,只 要 密 钥 不 同 ,加密 后 的 密 文 就 不 同 。 

加 密 变 换 的 保密 性 取决 于 密 钥 的 保密 ,即使 已 经 知道 若干 明文 及 与 之 对 应 的 密 文 ,甚至 
掌握 了 加 密 、 解 密 算法 ,只 要 不 知道 当时 的 密 钥 ,也 难以 解 出 未 知 的 明文 。 

在 现代 密码 学 研究 中 ,加 密 和 解密 算法 一 般 都 是 公开 的 ,对 于 攻击 者 来 说 ,只 要 知道 解 
密 密 钥 就 能 够 破译 密 文 ,因此 , 密 钥 设 计 成 为 核心 , 密 钥 保护 也 成 为 防止 攻击 的 重点 。 


2.1.2 解密 与 密码 分 析 


密码 学 研究 包含 两 部 分 内 容 : 一 是 加 密 算法 的 设计 和 研究 ; 二 是 密码 分 析 , 即 密码 破 

由 合法 接收 者 根据 密 文 把 原始 信息 恢复 的 过 程 称 为 解密 或 脱 密 ; 非法 接收 者 试图 从 密 
文中 分 析出 明文 的 过 程 称 为 密码 破译 或 密码 分 析 ,密码 分 析 是 一 种 在 不 知道 密 钥 的 情况 下 
破译 密 文 的 技术 。 

密码 分 析 之 所 以 能 成 功 ,最 根本 的 原因 是 明文 中 的 元 余 度 。 依 赖 于 自然 语言 的 元 余 度 ， 
使 用 “分 析 一 假设 一 推断 一 证 实 或 否定 ”的 方法 可 以 从 密 文中 获得 明文 。 

在 密码 学 模型 中 , 仅 对 截获 的 密 文 进行 分 析 而 不 对 系统 进行 任何 自 改 称 为 被 动 攻击 ; 
而 采用 删除 .更改 ,增添 、 重 放 、 伪 造 等 方法 向 系统 加 入 假 消 息 则 称 为 主动 攻击 。 被 动 攻击 的 
隐蔽 性 更 好 ,难以 发 现 ,主动 攻击 的 破坏 性 更 大 。 

密码 攻击 的 方法 有 穷 举 法 和 分 析 破 译 法 两 大 类 。 

1. 穷 举 法 

穷 举 法 也 称 强力 法 或 完全 试 次 法 ,对 截获 的 密 文 依次 用 各 种 可 能 的 密 钥 试 译 , 直 到 获得 
有 意义 的 明文 。 
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穷 举 密 钥 搜索 法 可 能 破译 成 本 太 高 (得 不 偿 失 ) 或 者 时 间 太 长 (超过 有 效 期 ) 。 

2. 分 析 破 译 法 

分 析 破 译 法 包括 确定 性 分 析 法 和 统计 分 析 法 。 

确定 性 分 析 法 指 利用 一 个 或 几 个 已 知 量 (例如 ,已 知 密 文 或 明文 - 密 文 对 ) 用 数学 关系 式 
表示 出 所 求 未知 量 (如 密 钥 等 ) 的 方法 。 

统计 分 析 法 是 利用 明文 的 已 知 统计 规律 进行 破译 的 方法 。 密 码 破 译 者 对 截获 的 密 文 进 
行 统计 分 析 , 总 结 出 其 间 的 统计 规律 ,并 与 明文 的 统计 规律 进行 对 照 比较 ,从 中 提取 出 明文 
和 密 文 之 间 的 对 应 或 变换 信息 。 
2.1.3 密码 体制 


密码 学 加 密 解密 模型 如 图 2-2 所 示 。 


被 动 攻击 者 攻击 者 4 主动 攻击 者 
监听 消息 | 截取 、 更 改 消息 


明文 。| 加 密 函 数 解密 函数 | 明文 P=Dx(CO)_ 
Ex ) Due( ) 
| 密 文 C=Ei(P) t 
加 密 密 钼 8 《解密 密 钢 


图 2-2 加 密 解密 模型 


从 明文 到 密 文 的 变换 过 程 是 一 个 以 加 密 密 钥 上 为 参数 的 函数 , 记 作 Ei(P)。 密 文 经 过 
通信 信道 的 传输 到 达 目 的 地 后 ,需要 还 原 成 有 意义 的 明文 ,才能 被 通信 接收 方 理解 。 将 密 文 
C 还 原 为 明文 己 的 变换 过 程 称 为 解密 或 者 脱 密 ,该 变换 是 以 解密 密 钥 上 为 参数 的 函数 , 记 
作 D(C)。 根 据 密 钥 的 特点 ,可 以 将 密码 体制 分 为 对 称 密码 体制 和 非 对 称 密码 体制 两 种 。 

1. 对 称 密码 体制 

在 传统 密码 体制 中 ,加 密 和 解密 采用 的 是 同一 密 钥 , 即 &==k' ,并 且 De (ECP)) 一 已, 称 
为 对 称 密 钥 密码 系统 ,又 称 私 钥 系 统 。 

在 私 钥 密码 体制 中 , 按 加 密 方式 的 不 同 又 可 以 分 为 分 组 密码 和 序列 密码 。 

在 分 组 密码 中 ,将 明文 序列 划分 成 长 度 相 等 的 “分 组 ”, 对 每 个 “分 组 ”单独 进行 加 密 ; 在 
序列 密码 中 ,采用 时 变 函 数 对 明文 逐个 加 密 。 

2. 非 对 称 密码 体制 

现代 密码 体制 中 加 密 和 解密 采用 不 同 的 密 钥 , 称 为 非 对 称 密 钥 密码 系统 ,每 个 通信 方 均 
需要 有 A& 两 个 密 钥 ,在 进行 保密 通信 时 通常 将 加 密 密 钥 上 公开 ( 称 为 公 钥 ) ,而 保留 解密 密 
钥 &( 称 为 私 钥 ) ,所 以 也 称 为 公共 密 钥 密码 系统 。 

公共 密 钥 方案 较 对 称 密 钥 方案 处 理 速 度 慢 ,因此 ,通常 把 公共 密 钥 与 对 称 密 钥 技 术 结合 
起 来 实现 最 佳 性 能 , 即 用 公共 密 钥 技术 在 通信 双方 之 间 传 送 对 称 密 钥 ,而 用 对 称 密 钥 对 实际 
传输 的 数据 加 密 .解密 。 

此 外 ,还 可 以 将 密码 体制 分 为 基于 数学 的 密码 ( 公 钥 、 分 组 .序列 .Hash 函数 .PKI 技术 
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等 ) 和 非 数 学 的 密码 (信息 隐形 .量子 密 码 、 基 于 生物 特征 的 技术 等 ) 两 大 类 。 
2.1.4 加 密 方法 


按照 实现 加 密 手 段 的 不 同 ,加 密 方法 分 为 硬件 加 密 和 软件 加 密 两 类 。 

1. 硬件 加 密 

硬件 加 密 速 度 快 , 密 钥 的 管理 比较 方便 ,还 可 以 对 加 密 设 备 进 行 物 理 加 固 , 使 得 攻击 者 
无 法 对 其 进行 直接 攻击 。 

1) 软盘 加 密 

在 软盘 的 特殊 位 置 写 人 一 些 信息 ,软件 在 运行 时 要 检验 这 些 信息 。 这 种 软盘 就 好 像 一 
把 钥匙 ,软件 开发 商 只 需 一 次 投资 购买 一 套 加 密 工 具 , 就 可 以 自己 制作 多 张 钥匙 盘 。 此 方法 
加 密 简单 .成 本 低 , 但 用 户 在 执行 软件 时 必须 插入 此 软盘 , 极 大 地 降低 了 程序 的 运行 速度 。 

2) 卡 加 密 

在 软件 的 执行 过 程 中 可 以 随时 访问 加 密 卡 ,不 会 对 软件 运行 的 速度 带 来 太 多 的 影响 。 
而 且 由 于 加 密 卡 是 与 计算 机 的 总 线 交 换 数据 ,数据 通信 协议 完全 由 卡 的 生产 厂家 制定 ,没有 
统一 的 标准 接口 ,让 软件 解密 者 有 无 从 下 手 的 感觉 。 但 这 种 加 密 方案 需要 打开 计算 机 机 箱 ， 
占用 扩展 槽 。 

3) 软件 锁 加 密 

加 密 锁 是 一 个 插 在 计算 机 打印 口上 \ 火 柴 盒 大 小 的 设备 ,俗称 加 密 狗 。 在 加 密 锁 内 部 存 
有 一 定 的 数据 和 算法 ,计算 机 可 以 与 之 通信 来 获得 其 中 的 数据 ,或 通过 加 密 锁 进 行 某 种 计 
算 , 可 以 随时 访问 而 且 访问 速度 很 快 ,成 为 当今 世界 上 主流 的 加 密 方案 。 

USB 接口 的 加 密 锁 不 但 拥有 并 口 加密 锁 的 所 有 优点 而 且 没 有 打印 上 的 问题 ,其 前 景 十 
分 被 看 好 。 

4) 光盘 加 密 

利用 特殊 的 光盘 母 盘 上 的 某 些 不 可 再 现 的 特征 信息 实现 光盘 加 密 。 这 些 特征 信息 位 于 
光盘 复制 时 复制 不 到 的 地 方 。 因 为 软件 数据 和 加 密 在 同一 载体 上 ,对 用 户 而 言 是 很 方便 的 。 

2. 软件 加 密 

用 户 在 发 送信 息 前 , 先 调用 信息 安全 模块 对 信息 进行 加 密 , 然 后 发 送 , 到 达 接 收 方 后 ,由 
用 户 用 相应 的 解密 软件 进行 解密 。 

1) 密码 表 加 密 

在 软件 运行 的 开始 ,要 求 用 户 根据 屏幕 的 提示 信息 输入 特定 的 答案 ,答案 往往 在 用 户 手 
册 上 的 一 份 防 复印 的 密码 表 中 。 用 户 只 有 输入 密码 正确 后 才能 够 继续 运行 。 这 种 加 密 方案 
实现 简单 ,不 需要 太 多 的 成 本 ,但 用 户 每 次 运行 软件 都 要 查找 密码 ,不 免 使 用 户 感到 十 分 
不 便 。 

2) 序列 号 加 密 

很 多 共享 软件 大 多 采用 这 种 加 密 方式 。 用 户 在 软件 的 试用 期 间 是 不 需要 缴费 的 ,一 旦 
试用 期 满 , 还 希望 继续 使 用 这 个 软件 ,就 必须 到 软件 公司 进行 注册 ,然后 软件 公司 根据 提交 
的 信息 生成 一 个 序列 号 。 用 户 收 到 这 个 序列 号 后 ,在 软件 运行 的 时 候 输入 ,软件 会 验证 是 否 
正确 。 


3) 许可 证 加 密 

许可 证 加 密 是 序列 号 加 密 的 一 个 变种 。 软 件 在 安装 或 运行 时 ,会 对 计算 机 进行 一 番 检 
测 ,并 根据 检测 结果 生成 一 个 特定 指纹 ,这 个 指纹 可 以 是 一 个 小 文件 ,也 可 以 是 一 串 谁 也 看 
不 懂 的 数据 。 用 户 需 要 把 这 个 指纹 数据 通过 Internet、E-mail、 电 话 、 传 真 等 方式 发 送 到 开发 
商 那 里 ,开发 商 根据 这 个 指纹 ,给 用 户 一 个 注册 码 或 注册 文件 ,完成 注册 后 方 能 使 用 。 


2.2 古典 密码 学 与 近代 密码 学 


密码 学 的 发 展 分 为 三 个 阶段 : 古典 密码 体制 .近代 密码 体制 和 现代 密码 体制 。 

古典 密码 体制 采用 单 表 代 替 体 制 和 多 表 代替 体制 ,用 "手工 作业" 方式 进行 加 /解密 。 近 
代 密 码 体制 采用 复杂 的 机 械 或 电动 机 械 设备 一 一 转 轮机 ,实现 加 /解密 。 现 代 密 码 体制 起 源 
于 1949 年 香农 的 《保密 体制 的 通信 理论 》, 使 用 大 规模 集成 电路 和 计算 机 技术 实现 加 /解密 。 


2.2.1 古典 密码 体制 


古典 密码 体制 采用 代替 法 或 换 位 法 把 明文 变换 成 密 文 。 用 其 他 字母 ,数字 或 符号 代替 
明文 字母 的 方法 称 为 代替 法 ; 将 明文 字母 的 正常 次 序 打 乱 的 方法 称 为 换 位 法 (或 置换 法 ) 。 

代替 法 包括 单 表 代替 体制 和 多 表 代 蔡 体制 ,其 中 单 表 代 蔡 体制 则 包括 加 法 密码 ,乘法 密 
码 、 仿 射 密码 和 密 钥 短 语 密码 等 。 

1. 加 法 密码 

加 法 密码 又 称 为 移 位 密码 或 代替 密码 ,每 个 明文 字母 用 其 后 面 的 第 kK 个 字母 代替 ,KK 
的 范围 为 0 一 25, 当 开 为 0 时 ,就 是 明文 本 身 , 超 过 25 的 值 与 0 一 25 的 值 所 起 的 作用 一 样 。 
一 旦 密 钥 K 确定 ,每 个 英文 字母 都 位 移 相 同 的 距离 。 

当 开 一 3 时 ,可 以 用 下 面 的 明 密 文 对 照 表 表示 这 种 关系 。 

明文 a bcdefghijklmnopqrstuvwxyrz 

密 文 : DEFGHIJKLMNOPQRSTUVWXYZABC 

这 样 ,明文 information 就 转换 为 密 文 LQIRUPDWLRQ。 

加 法 密码 的 密 钥 数 只 有 26 个 ,因此 加 法 密码 很 容易 被 破解 。 

2. 乘法 密码 

采用 模 26 乘法 ,将 两 个 乘 数 的 积 除 以 26, 得 到 的 余数 为 “ 模 26 乘法 ”的 结果 ,如 图 2-3 所 示 。 

从 图 中 可 以 看 出 , 当 密 钥 为 1 时 ,“ 模 26 乘法 ”的 结果 互 不 相同 ; 当 密 钥 为 2 时 ,“ 模 26 
乘法 ”的 结果 有 相同 部 分 …… 因 此 ,乘法 密码 的 密 钥 只 有 12 个 : 1、3、5、7、9、11、15、17、19、 
21、23、25 ,保密 性 极 低 。 

使 用 乘法 密码 加 密 时 , 先 将 要 加 密 的 明文 字母 转换 为 数字 。26 个 字母 分 别 用 0 一 25 代 
替 如 下 。 

字母 : a b c defghijk lmnopqdrstuvwxyz 

数字 : 1 2 3 4 5 6 7 8 9 10111213141516171819202122232425 0 
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4567 8 9 1011121314151617 18192021 22232425 
0000000000000000000000 
4567 8 9 1011121314151617 18192021 22232425 
8 10121416182022240 2 4 6 8 10121416 18 20 22 24 
12151821241 4 7 1013161922252 5 8 11 1417 20 23 
121620242 6 101418220 4 8 121620242 6 10141822 
101520254 9 1419243 8 1318232 7 1217221 6 111621 
1218244 1016222 8 14200 6 1218244 1016222 8 1420 
14212 9 16234 1118256 13201 8 15223 1017245 1219 
16246 14224 12202 10180 8 16246 14224 12202 1018 
181 10192 11203 12214 13225 14236 15247 16258 17 
100 10204 14248 182 12226 16010204 14248 182 12226 16 
110 11227 183 142510216 172 13249205 161 12238 194 15 
120 122410228 206 184 162 140 122410228 206 184 16214 
130 130 130 130 130 130 130 130 130 130 130 130 130 13 
140 142 164 186 208 22 1024120 140 164 186 208 22 102412 
150 154 198 23121 165 209 24132 176 211025143 187 22 11 
160 166 22122 188 24144 20100 166 22122 188 24144 2010 
170 178 25167 24156 23145 22134 21123 20112 19101 189 
180 18102 20124 22146 24168 0 18102 20124 22146 24168 
190 19125 2417103 22158 1 20136 2518114 23169 2 21147 
200 20148 2 2216104 2418126 0 20148 2 2216104 2418126 
210 2116116 1 2217127 2 2318138 3 24191494 252015 10 
220 2218 14106 2 242016128 4 0 221814106 2 242016 128 
230 23201714118 5 2 2522191613107 4 1 24211815129 6 
240 24222018161412108 6 420 24222018161412108 6 4 
250 252423222120191817161514131211109 8765432 


图 2-3 “ 模 26 乘法 ”的 乘法 表 


然后 查 图 2-3, 找 出 对 应 的 “ 模 26 乘法 "的 结果 ,最 后 再 转换 为 密 文 字母 。 

例如 将 明文 information 用 开 =3 的 乘法 密码 进行 加 密 。 

(1) Information 对 应 数字 为 9,14,6,15,18,13,1,20,9,15,14。 

(2) 当 KK=3 时 ,得 到 结果 为 1,16,18,19,2,13,3,8,1,19,16, 见 图 2-3 中 黑体 字 部 分 。 

对 应 数字 转换 为 字母 ,转换 后 的 密 文 为 aprsbmchasp。 

3. 仿 射 密码 

将 乘法 密码 和 加 法 密码 组 合 在 一 起 ,就 构成 仿 射 密码 。 具 体 方法 是 先 按照 乘法 密码 将 
明文 变换 成 中 间 密 文 , 青 将 得 到 的 中 间 密 文 当 作 明 文 ,按照 加 法 密码 变换 成 最 终 密 文 。 其 密 
钥 数 为 12X26 二 312, 效 果 比 单独 采用 乘法 密码 或 加 法 密码 好 。 

例如 ,对 information 分 别 采用 ==3 进行 乘法 和 加 法 密码 加 密 。 

(1) 乘法 K=3 得 到 的 中 间 密 文 : aprsbmchasp。 

(2) 加 法 K==3 得 到 的 最 终 密 文 : DSUVEPFKDVS。 

4. 密 钥 短语 密码 

密 钥 短语 密码 的 构造 方法 如 下 : 


3 
0 
3 
6 
9 


oo 口上 mr 
SOO See 


Feb om 上 四 
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(1) 先 任 选 一 个 特定 字母 ,如 e。 

(2) 再 任意 选择 一 个 英文 短语 ,并 将 此 短语 中 重复 的 字母 删 去 。 如 选 词组 
INFORMATION SECURITY ,去 掉 重 复 字母 后 为 INFORMATSECUY, 将 其 作为 密 钥 
短语 。 

(3) 在 特定 字母 下 开始 写 出 密 钥 短语 ,再 把 字母 表 中 未 在 密 钥 短语 中 出 现 过 的 字母 依 
次 写 在 密 钥 短语 的 后 面 。 

明文 a bcdefghijklmnopqrstuvwxyz 

密 文 VWXZINFORMATSECUYBDGHJKLPQ 

对 于 明文 information 采用 上 述 方法 加 密 , 得 到 的 密 文 为 RENCBSVGRCE。 

在 上 述 密 钥 短语 密码 中 ,26 个 字母 可 以 任意 排列 成 明文 字母 的 代替 表 , 其 密 钥 量 高 达 
26X25X…X2X1l= 403 291 461 126 605 635 584 000 000。 要 破译 这 样 的 密码 体制 ,一 个 密 
钥 一 个 密 钥 地 试 ,就 是 用 计算 机 也 不 行 , 但 可 以 采用 统计 分 析 的 方法 进行 破译 。 

5. 多 表 代 蔡 体制 

单 表 代替 密码 体制 无 法 抗拒 统计 分 析 的 攻击 ,其 根本 原因 在 于 明文 的 统计 规律 会 在 密 
文中 反映 出 来 。 采 用 多 表 代替 密码 体制 ,可 以 在 密 文 中 尽量 抹 平 明文 的 统计 规律 。 

多 表 代替 密码 体制 使 用 两 个 或 两 个 以 上 的 不 同 代 替 表 ,用 的 代替 表 越 多 , 表 之 间 越 无 
关 , 则 统计 特性 越 平 坦 , 加 密 效果 越 好 ,但 密 钥 的 记忆 困难 。 

一 般 采 用 较 少 数量 的 代 蔡 表 周 期 性 地 重复 使 用 ,如 著名 的 维 吉 尼 亚 密码 , 见 图 2-4。 

在 维 吉 尼 亚 方 阵 中 , 密 钥 字母 序列 中 的 每 个 字母 所 对 应 的 行 都 是 一 个 加 法 密码 ,所 以 维 
吉 尼 亚 密码 实际 上 是 把 26 个 加 法 密码 组 合 在 一 起 ,构成 最 多 有 26 个 替代 表 的 多 表 代 替 密 
码 体制 。 具 体 使 用 哪 几 个 表 , 由 密 钥 短 诸 确 定 。 

例如 使 用 密 钥 短语 chengdu 对 明文 information 进行 加 密 , 则 明文 字母 1 用 密 钥 字母 c 
指定 的 代替 表 加 密 成 密 文 K, 明 文字 母 n 用 密 钥 字母 h 指定 的 代替 表 加 密 成 密 文 U ,以 此 类 
推 , 当 密 钥 字 用 完 后 ,再 重复 使 用 。 


密 钥 字 :c h e ng duc hen 
:EE 
Xr KUTDBXP UYVPSA 
6. 换 位 密码 


代替 密码 是 将 明文 字母 用 密 文 字母 替换 , 换 位 (置换 ) 密 码 则 是 按 某 种 规律 改变 明文 字 
母 的 排列 位 置 , 即 重 排 明 文字 母 的 顺序 ,使 人 看 不 出 明文 的 原意 ,达到 加 密 的 效果 。 换 位 密 
码 也 称 为 置换 密码 。 

例如 将 明文 i am a university student 以 固定 的 宽度 水 平 (假设 为 4) 写 在 纸 上 : 

i a m a 

n 1 V 

r S i 
3 y S t 

d 


CS n 
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到 
半 
om 
o 
0 


defghijklmnopqrstuvwxyz 

密 a ABCDEFGHIJKLMNOPQRSTUVWXYZ 
钥 b BCDEFGHIJKLMNOPQRSTUVWXYZA 
字 c CDEFGHIJKLMNOPQRSTUVWXYZAB 
母 d DEFGHIJKLMNOPQRSTUVWXYZABC 
序 e EFGHIJKLMNOPQRSTUVWXYZABCD 
列 f FGHIJKLMNOPQRSTUVWXYZABCDE 
g GHIJKLMNOPQRSTUVWXYZABCDEF 
h HIJKLMNOPQRSTUVWXYZABCDEFG 
i IJKLMNOPQRSTUVWXYZABCDEFGH 
j JKLMNOPQRSTUVWXYZABCDEFGHI 
k KLMNOPQRSTUVWXYZABCDEFGHIJ 
1 LMNOPQRSTUVWXYZABCDEFGHIJK 
m MNOPQRSTUVWXYZABCDEFGHIJKL 
n NOPQRSTUVWXYZABCDEFGHIJKLM 
0 OPQRSTUVWXYZABCDEFGHIJKLMN 
p PQAQRSTUVWXYZABCDEFGHIJKLMNO 
q QRSTUVWXYZABCDEFGHIJKLMNOP 
r RSTUVWXYZABCDEFGHIJKLMNOPRQ 
s STUVWXYZABCDEFGHIJKLMNOPQR 
t TUVWXYZABCDEFGHIJKLMNOPQRS 
u UVWXYZABCDEFGHIJKLMNOPQRST 
Vv VWXYZABCDEFGHIJKLMNOPQRSTU 
Ww WXYZABCDEFGHIJKLMNOPQRSTUY 
x XYZABCDEFGHIJKLMNOPQRSTUVW 
y YZABCDEFGHIJKLMNOPQRSTUVWYX 
z ZABCDEFGHIJKLMNOPQRSTUVWXY 


图 2-4 维 吉 尼 亚 方 阵 


密 文 按 垂 直方 向 读 出 : iuetutanrydmisseavitn 。 

解密 者 收 到 密 文 后 ,将 收 到 的 字符 数 21 除 以 事先 约定 的 宽度 4, 得 到 5 个 整 行 (4X5= 
20 个 字符 ) 和 1 个 非 整 行 (只 占 1 个 字符 )。 这 样 ,4 列 中 ,第 一 列 有 6 个 字符 ,其 他 列 各 有 5 
个 字符 。 

解密 时 ,将 收 到 的 密 文 按 列 iuetut anryd ,misse avitn 垂直 地 写 在 纸 上 。 


i a m a 
u n i v 
ee 3 S i 
t y S t 
u d e n 


t 


然后 水 平地 读 出 明文 : iamauniversitystudent。 


2.2.2 近代 密码 体制 
文艺 复兴 时 期 ,享有 "西方 密码 之 父 * 美 誉 的 意大利 人 艾 伯 蒂 发 明了 实现 多 表 蔡 代 的 密 
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码 盘 ,20 世纪 30 年 代 后 出 现 了 更 为 复杂 而 精巧 的 转 轮 密码 机 。 

密码 机 是 一 种 把 明文 情报 转换 为 密 文 的 机 械 设备 ,采用 机 械 或 电动 机 械 实现 ,其 最 基本 
的 元 件 是 转 轮机 。 转 轮机 静止 时 ,相当 于 单 表 代 替 ; 转 轮机 转动 时 ,相当 于 多 表 代 蔡 。 如 日 
本 制造 的 “紫色 ”密码 机 Purple、 德 国 制 造 的 Enigma 密码 机 (如 图 2-5 所 示 )、 瑞 典 人 哈 格林 
研制 的 Hzgdin 密码 机 等 。 
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(b) 转子 组 


图 2-5 德国 军用 三 转子 Enigma 密码 机 


密码 机 由 接线 板 、 键 盘 、 显 示 屏 和 转子 组 成 。 当 按 下 一 个 键 时 (如 A), 电 流通 过 接线 板 ， 
经 过 转子 时 移动 位 置 (例如 从 A 移动 到 D, 可 以 任意 调整 ) ,再 打 在 屏幕 上 。 

Enigma 密码 机 的 键盘 一 共有 26 个 键 ,键盘 排列 和 现在 广 为 使 用 的 计算 机 键盘 基本 一 
样 ,只 不 过 为 了 使 通信 尽量 地 短 和 难以 破译 .空格 ` 数 字 和 标点 符号 都 被 取消 ,而 只 有 字 
母 键 。 

键盘 上 方 是 显示 器 ,这 不 是 现在 意义 上 的 屏幕 显示 器 ,只 不 过 是 标识 了 同样 字母 的 26 
个 小 灯泡 。 当 键盘 上 的 某 个 键 被 按 下 时 ,与 该 字母 被 加 密 后 的 密 文 字母 所 对 应 的 小 灯泡 变 

在 显示 器 上 方 是 三 个 直径 6cm 的 转子 ,它们 的 主要 部 分 隐藏 在 面板 下 。 转 子 是 
Enigma 密码 机 最 关键 的 部 分 。 如 果 转 子 的 作用 仅仅 是 把 一 个 字母 换 成 另 一 个 字母 , 那 就 是 
密码 学 中 所 说 的 “ 单 表 代替 密码 ”。 在 公元 9 世纪 ,阿拉 伯 的 密码 破译 专家 就 已 经 能 够 娴熟 
地 运用 统计 字母 出 现 频率 的 方法 来 破译 简单 蔡 换 密码 ; 柯南 。 道 尔 在 他 著名 的 福尔摩斯 探 
案 《 跳 舞 的 小 人 》 里 就 非常 详细 地 叙述 了 福尔摩斯 使 用 频率 统计 法 破译 跳舞 人 形 密码 (也 就 
是 单 表 代 替 密 码 ) 的 过 程 。 

之 所 以 叫 “ 转 子 ”, 是 因为 它 会 转 。 这 就 是 关键 : 当 按 下 键盘 上 的 一 个 字母 键 ,相应 加 密 
后 的 字母 在 显示 器 上 通过 灯泡 办 亮 来 显示 ,而 转子 就 自动 地 转动 一 个 字母 的 位 置 。 

为 了 更 容易 理解 ,图 2-6 只 显示 4 个 键 \, 灯 及 其 他 元 件 。 实 际 上 ,Enigma 密码 机 拥有 显 
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示 灯 、 按 键 、 搬 孔 和 线路 各 26 个 。 

当 按 下 A 键 时 ,电流 首先 从 电池 四 流 到 双向 开关 @ ,再 流 到 接线 板 @( 接 线 板 的 作用 是 
将 键盘 A 与 固定 接口 @ 连 接 起 来 )。 接 下 来 ,电流 会 流 到 固定 接口 @, 然 后 流 经 3 个 (德国 
防卫 军 版 ) 或 4 个 (德国 海军 M4 版 和 德国 国防 军情 报 局 版 ) 转 子 @ ,之 后 进入 反射 器 @。 反 
射 器 将 电流 从 另 一 条 线路 向 反方 向 导出 ,电流 会 再 一 次 通过 转子 @ 和 固定 接口 @, 之 后 到 达 
插 孔 S, 又 通过 一 条 电线 回流 到 插 孔 D, 最 后 通过 另 一 个 双向 开关 @ 去 点 亮 显 示 灯 ( 灯 D 
发 亮 ) 。 

连续 按 两 次 A 键 后 ,电流 会 流 经 所 有 转子 ,通过 反射 器 后 分 别 向 反方 向 流 到 G 灯 和 C 
灯 。 注 意 : 转子 上 的 灰色 线条 代表 了 其 他 可 能 的 线路 ,这 些 线条 与 转子 以 硬 接连 方式 连接 
起 来 。 连 续 按 两 次 A 键 会 得 到 不 同 的 结果 ,第 一 次 得 到 的 是 G, 第 二 次 是 C。 这 是 因为 最 右 
边 的 转子 在 第 一 次 按 下 A 键 后 会 旋转 一 点 点 ,这 就 将 A 键 发 出 的 电流 送 到 了 一 个 完全 不 同 
的 路 线 上 ,如 图 2-7 所 示 。 
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图 2-6 工作 原理 图 图 2-7 连续 按键 显示 不 同 的 密 文 


这 种 加 密 方式 就 是 “多 表 代 替 密 码 ”, 是 Enigma 难以 被 破译 的 关键 所 在 。 同 一 个 字母 
在 明文 的 不 同位 置 时 ,可 以 被 不 同 的 字母 替换 ,而 密 文 中 不 同位 置 的 同一 个 字母 ,又 可 以 代 
表明 文中 的 不 同 字母 ,字母 频率 分 析 法 在 这 里 毫 无 用 武之 地 了 。 

但 是 如 果 连 续 输 入 26 个 字母 ,转子 就 会 整整 转 一 圈 , 回 到 原始 的 方向 上 ,这 时 编码 就 和 
最 初 重复 了 。 在 加 密 过 程 中 ,重复 就 是 最 大 的 破绽 ,因为 这 可 以 使 破译 密码 的 人 从 中 发 现 规 
律 。 于 是 Enigma 又 增加 了 一 个 转子 , 当 第 一 个 转子 转动 整整 一 圈 以 后 , 它 上 面 有 一 个 齿轮 
拨 动 第 二 个 转子 ,使 得 它 的 方向 转动 一 个 字母 的 位 置 。 假 设 第 一 个 转子 已 经 整整 转 了 一 圈 ， 
按 A 键 时 显示 器 上 D 灯泡 亮 ; 当 放 开 A 键 时 第 一 个 转子 上 的 齿轮 也 带动 第 二 个 转子 同时 
转动 一 格 ,于 是 第 二 次 输入 A 时 ,加 密 的 字母 可 能 为 E; 再 次 放 开 键 A 时 ,就 只 有 第 一 
子 转动 了 ,于 是 第 三 次 输入 A 时 ,与 之 相对 应 的 字母 就 可 能 是 F 了 。 

因此 只 有 在 26X26 一 676 个 字母 后 才 会 重复 原来 的 编码 。 而 事实 上 Enigma 有 三 个 转 
子 (第 二 次 世界 大 战 后 期 德国 海军 使 用 的 Enigma 甚至 有 4 个 转子 ) ,那么 重复 的 概率 就 达 
到 26X26X26 王 17 576 个 字母 之 后 。 
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在 此 基础 上 Enigma 十 分 巧妙 地 在 三 个 转子 的 一 端 加 上 了 一 个 反射 器 ,把 键盘 和 显示 
器 中 的 相同 字母 用 电线 连 在 一 起 。 反 射 器 和 转子 一 样 ,把 某 一 个 字母 连 在 另 一 个 字母 上 ,但 
是 它 并 不 转动 。 乍 一 看 这 么 一 个 固定 的 反射 器 好 像 没 什么 用 处 , 它 并 不 增加 可 以 使 用 的 编 
码 数 目 , 但 是 把 它 和 解码 联系 起 来 就 会 看 出 这 种 设计 的 别 具 匠 心 了 。 当 一 个 键 被 按 下 时 , 信 
号 不 是 直接 从 键盘 传 到 显示 器 ,而 是 首先 通过 三 个 转子 连 成 的 一 条 线路 ,然后 经 过 反射 器 再 
回 到 三 个 转子 ,通过 另 一 条 线路 再 到 达 显示 器 上 ,如 A 键 被 按 下 时 , 亮 的 是 D 灯泡 。 如 果 这 
时 按 的 不 是 A 键 而 是 D 键 ,那么 信号 恰好 按照 上 面 A 键 被 按 下 时 的 相反 方向 通行 ,最 后 到 
达 A 灯泡 。 换 句 话说 ,在 这 种 设计 下 ,反射 器 虽然 没有 像 转 子 那样 增加 不 重复 的 方向 ,但 是 
它 可 以 使 解码 过 程 完 全 重 现 编码 过 程 。 

使 用 Enigma 通信 时 ,发 信人 首先 要 调节 三 个 转子 的 方向 (而 这 个 转子 的 初始 方向 就 是 
密 匙 ,是 收发 双方 必须 预先 约定 好 的 ) ,然后 依次 输入 明文 ,并 把 显示 器 上 灯泡 闪 亮 的 字母 依 
次 记 下 来 ,最 后 把 记录 下 的 闪 亮 字母 按照 顺序 用 正常 的 电报 方式 发 送出 去 。 收 信 方 收 到 电 
文 后 ,只 要 也 使 用 一 台 Enigma, 按 照 原来 的 约定 ,把 转子 的 方向 调整 到 和 发 信 方 相同 的 初始 
方向 上 ,然后 依次 输入 收 到 的 密 文 ,显示 器 上 自动 内 亮 的 字母 就 是 明文 了 。 加 密 和 解密 的 过 
程 完全 一 样 ,这 就 是 反射 器 的 作用 。 

Enigma 加 密 的 关键 就 在 于 转子 的 初始 方向 。 当 然 如 果 敌 人 收 到 了 完整 的 密 文 ,还 是 可 
以 通过 不 断 试 验 转 动 转子 方向 来 找到 这 个 密 匙 ,特别 是 如 果 破 译 者 同时 使 用 许多 台 机 器 同 
时 进行 这 项 工作 时 ,所 需要 的 时 间 就 会 大 大 缩短 。 对 付 这 样 的 “暴力 破解 法 ”, 可 以 通过 增加 
转子 的 数量 来 对 付 ,因为 每 增加 一 个 转子 ,就 能 使 试验 的 数量 乘 上 26 倍 。 不 过 由 于 增加 转 
子 就 会 增加 机 器 的 体积 和 成 本 ,而 密码 机 又 是 需要 便于 携带 的 。 所 以 Enigma 密码 机 的 三 
个 转子 是 可 以 拆卸 下 来 并 互相 交换 位 置 的 ,这 样 一 来 ,初始 方向 的 可 能 性 就 增加 了 6 倍 。 假 
设 三 个 转子 的 编号 为 1.2.3, 那 么 它们 可 以 被 放 成 123 一 132 一 213 一 231-312 一 321 这 6 种 不 
同位 置 , 当 然 , 现 在 收发 密 文 的 双方 除了 要 约定 转子 自身 的 初始 方向 ,还 要 约 好 这 6 种 排列 
中 的 某 一 种 。 

除了 转子 方向 和 排列 位 置 ,Enigma 还 有 一 道 保障 安全 的 关卡 : 在 键盘 和 第 一 个 转子 之 
间 有 块 连接 板 。 通 过 这 块 连接 板 可 以 用 一 根 连 线 把 某 个 字母 和 另 一 个 字母 连接 起 来 ,这 样 
这 个 字母 的 信号 在 进入 转子 之 前 就 会 转变 为 另 一 个 字母 的 信号 。 这 种 连 线 最 多 可 以 有 6 根 
(后 期 的 Enigma 甚至 达到 10 根 连 线 ) ,这 样 就 可 以 使 6 对 字母 的 信号 两 两 互 换 ,其 他 没有 
插 上 连 线 的 字母 则 保持 不 变 。 当 然 连接 板 上 的 连 线 状况 也 是 收发 双方 预先 约定 好 的 。 

就 这 样 转子 的 初始 方向 、 转 子 之 间 的 相互 位 置 以 及 连接 板 的 连 线 状况 就 组 成 了 Enigma 
三 道 牢 不 可 破 的 保密 防线 ,其 中 连接 板 是 一 个 单 表 蔡 换 密码 系统 ,而 不 停 转动 的 转子 ,虽然 
数量 不 多 ,但 却 是 点 睛 之 笔 ,使 整个 系统 变 成 了 多 表 替 换 系统 。 连 接 板 虽然 只 是 单 表 替换 却 
能 使 可 能 性 数目 大 大 增加 ,在 转子 的 复式 作用 下 进一步 加 强 了 保密 性 。 

下 面 来 算 一 算 , 经 过 这 样 的 处 理 ,要 想 通过 “暴力 破解 法 "还 原 明 文 ,需要 尝试 多 少 种 可 
能 性 : 

三 个 转子 不 同 的 方向 组 成 了 26X26X26 二 17 576 种 可 能 性 ; 

三 个 转子 间 不 同 的 相对 位 置 为 6 种 可 能 性 ; 

连接 板 上 两 两 交换 6 对 字母 的 可 能 性 则 异常 庞大 ,有 100 391 791 500 种 ; 


于 是 一 共有 17 576X6X100 391 791 500 种 可 能 性 ,其 结果 大 约 为 10 000 000 000 000 000， 
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即 一 亿 亿 种 可 能 性 ! 这 样 庞大 的 可 能 性 ,换言之 ,即便 能 动员 大 量 的 人 力 物力 ,要 想 靠 “暴力 
破解 法 ”来 逐一 试验 可 能 性 ,几乎 是 不 可 能 的 。 而 收发 双方 , 则 只 要 按照 约定 的 转子 方向 、 位 
置 和 连接 板 连 线 状 况 , 就 可 以 非常 轻松 简单 地 进行 通信 了 。 这 就 是 Enigma 密码 机 的 保密 
原理 。 

从 1926 年 开始 ,Enigma 投入 使 用 ,德国 从 此 拥有 了 世界 上 最 为 可 靠 的 通信 保密 系统 。 

1940 年 初 ,图 灵 与 另 一 位 数学 家 威尔士 曼 通 过 仔细 研究 和 分 析 , 在 大 幅 改进 波兰 情报 
人 员 寻 找 密 钥 方法 的 基础 上 ,终于 发 明了 名 为 "炸弹 ?的 机 器 (如 图 2-8 所 示 ) ,用 来 辅助 破解 
工作 。 使 用 “炸弹 ”以 后 ,英国 破解 了 德国 空军 绝 大 多 数 的 密 文 , 盟 军 依靠 破解 的 消息 ,终于 
扭转 了 大 西洋 战场 的 战局 ,成 为 第 二 次 世界 大 战 的 一 个 转折 点 。 

第 二 次 世界 大 战 期 间 ,传统 的 密码 技术 得 到 了 前 所 未 有 的 发 展 和 利用 ,加 密 手 段 也 发 展 
到 了 电子 阶段 一 一 密 文通 过 无 线 电 发 报 机 发 送 ( 如 图 2-9 所 示 ), 如 1942 年 美国 制造 的 “ 北 
极 " 发 报 机 ,前 苏联 组 建 的 “ 露 西 "谍报 网 等 。 


2-8 图 灵 的 “炸弹 ” 2-9 1943 年 制造 的 在 线 
密码 电 传 机 


2.3 现代 密码 学 


香农 在 1949 年 发 表 了 《保密 体制 的 通信 理论 》, 将 信息 论 的 理论 引入 密码 系统 后 ,发 展 
起 来 的 密码 系统 称 为 现代 密码 学 。 现 代 密 码 学 涵盖 了 序列 密码 系统 、 分 组 密码 系统 和 公 钥 
密码 系统 。 这 一 时 期 最 具 代表 性 的 两 大 成 就 是 DES 和 公 钥 密码 思想 。 

第 一 个 重大 成 就 ,是 1971 年 美国 学 者 Tuchman 和 Meyer 依据 信息 论 创 始 人 香农 提出 
“多 重 加密 有 效 性 理论 ”创立 ,于 1977 年 由 美国 国家 标准 局 采纳 颁布 的 联邦 数据 加 密 标 
准 一 一 DES。 

DES 的 一 个 显著 特点 是 公开 算法 的 所 有 细节 ,让 秘密 完全 寓于 密 钥 之 中 ,开创 了 密码 
发 展 史 上 可 以 公开 密码 算法 的 先河 。 它 的 面世 ,把 传统 密码 学 的 研究 推进 到 了 一 个 轩 新 的 
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阶段 ,是 “密码 史上 应 用 最 广 .影响 最 大 的 传统 密码 算法 ”。 它 具有 较 高 的 保密 强度 ,易于 用 
大 规模 集成 电路 予以 实现 ,被 誉 为 密码 史上 的 第 一 个 里 程 碑 。 

第 二 个 重大 成 就 ,是 1976 年 由 美国 著名 的 密码 学 家 Diffie 和 Hellman 创立 的 公开 密 钥 
密码 体制 的 新 思想 。 这 是 密码 史上 划时代 的 革命 性 的 新 概念 。 它 标志 着 现代 密码 学 的 诞 
生 , 引 起 了 数学 界 、 计 算 机 科学 界 和 密码 界 众多 学 者 的 广泛 关注 和 深入 探索 ,从 而 开创 了 密 
码 学 理论 研究 的 新 纪元 。 

相对 于 传统 密码 体制 而 言 , 公 开 密 钥 密 码 体制 的 独特 之 处 在 于 : 它 的 密码 算法 和 加 密 
密 钥 均 可 通过 任何 非 安 全 通道 公布 于 众 , 仅 将 解密 密 钥 保 持 秘密 。 它 可 以 解决 密码 通信 系 
统 中 发 送 方 和 接收 方 的 认证 ,便于 实现 “数字 签名 ”, 确 认 双 方 的 身份 ,为 密码 技术 在 商业 、 金 
融 等 民用 领域 的 普遍 应 用 创造 了 条 件 。 


2.3.1 秘密 密 钥 密码 体制 与 公开 密 钥 密 码 体制 


1. 秘密 密 钥 密码 体制 

秘密 密 钥 密码 体制 也 称 单 密 钥 密码 体制 , 即 加 密 用 的 密 钥 和 解密 用 的 密 钥 完全 相同 ,或 
虽然 不 同 , 但 一 种 密 钥 可 以 很 容易 地 从 另 一 种 密 钥 推导 出 来 ,如 DES。 

这 种 系统 的 一 个 严重 缺陷 是 在 传输 密 文 前 发 送 者 和 接收 者 必须 通过 一 个 安全 信道 交换 通 
信 密 钥 ,在 实际 中 做 到 这 一 点 是 很 困难 的 ,而 一 旦 密 钥 泄漏 ,通信 将 变 得 没有 任何 安全 可 言 。 

2. 公开 密 钥 密码 体制 

公开 密 钥 密码 体制 也 称 双 密 钥 密 码 体制 或 非 对 称 密 钥 密 码 体制 ,其 密 钥 成 对 出 现 , 一 个 
为 加 密 密 钥 , 另 一 个 为 解密 密 钥 ,从 其 中 一 个 密 钥 中 不 能 推算 出 另 一 个 密 钥 。 加 密 密 钥 和 算 
法 公布 于 众 , 任 何人 都 可 以 来 加 密 明文 ,但 只 有 用 解密 密 钥 才能 够 解 开 密 文 , 如 RSA。 

公 钥 密码 体制 的 概念 是 在 解决 单 钥 密码 体制 中 最 难 解决 的 两 个 问题 时 提出 的 ,这 两 个 
问题 是 密 钥 分 配 和 数字 签名 。 

在 公 钥 密码 体制 以 前 的 整个 密码 学 史 中 , 所 有 的 密码 算法 ,包括 原始 手工 计算 的 .由 机 
械 设备 实现 的 以 及 由 计算 机 实现 的 ,都 是 基于 代 换 和 置换 这 两 个 基本 工具 的 ,而 公 钥 密码 体 
制 则 为 密码 学 的 发 展 提供 了 新 的 理论 和 技术 基础 。 一 方面 公 钥 密码 算法 的 基本 工具 不 再 是 
代 换 和 置换 ,而 是 数学 函数 ; 另 一 方面 公 钥 密码 算法 是 以 非 对 称 的 形式 使 用 两 个 密 钥 ,两 个 
密 钥 的 使 用 对 保密 性 、 密 钥 分 配 .认证 等 都 有 着 深刻 的 意义 。 可 以 说 公 钥 密码 体制 的 出 现在 
密码 学 史上 是 一 个 最 大 的 而 且 是 唯一 真正 的 革命 。 

3. 公开 密 钥 用 于 保密 通信 

公开 密 钥 用 于 保密 通信 的 原理 是 : 用 公开 密 钥 作为 加 密 密 钥 ,以 用 户 专用 密 钥 作为 解 
密 密 钥 ,实现 多 个 用 户 加 密 的 消息 只 能 由 一 个 用 户 解读 的 目的 。 

例如 用 户 Alice 想 把 一 段 明 文 加 密 后 发 送 给 Bob, 加 密 解 密 的 过 程 如 下 : 

(1) Bob 将 他 的 公开 密 钥 传送 给 Alice。 

(2) Alice 用 Bob 的 公开 密 钥 加 密 她 的 消息 ,然后 传送 给 Bob 。 

(3) Bob 用 他 的 私人 密 钥 解密 Alice 的 消息 。 

上 面 的 过 程 如 图 2-10 所 示 , Alice 使 用 Bob 的 公 钥 进行 加 密 ,Bob 用 自己 的 私 钥 进行 
解密 。 


26 信息 对 抗 与 网 络 安全 (第 3 版 ) 


Alice 的 公 
开 密 钥 环 


Bob 的 公开 密 钥 Bob 的 私 钥 


明文 输入 


加 密 算法 解密 算法 
图 2-10 公开 密 钥 用 于 保密 通信 


4. 公开 密 钥 用 于 数字 签名 

公开 密 钥 用 于 数字 签名 的 原理 是 : 使 用 用 户 的 专用 密 钥 作为 加 密 密 钥 ,以 公开 密 钥 作 
为 解密 密 钥 ,实现 一 个 用 户 加 密 的 信息 供 多 个 用 户 解 读 的 目的 。 

身份 认证 用 于 鉴别 用 户 的 真 伪 , 只 要 能 够 鉴别 一 个 用 户 的 私 钥 是 正确 的 ,就 可 以 鉴别 这 
个 用 户 的 真 伪 。 

例如 Alice 想 让 Bob 知道 自己 是 真实 的 Alice, 而 不 是 假冒 的 。Alice 需要 使 用 自己 的 
私 钥 对 文件 签名 ,发 送 给 Bob; Bob 使 用 Alice 的 公 钥 对 文件 进行 解密 ,如 果 可 以 解密 成 功 , 则 
证 明 Alice 的 私 钥 是 正确 的 ,因而 就 完成 了 对 Alice 的 身份 鉴别 。 整 个 身份 认证 的 过 程 如 下 : 

(1) Alice 用 她 的 私 钥 对 文件 加 密 , 从 而 对 文件 签名 。 

(2) Alice 将 签名 的 文件 传送 给 Bob。 

(3) Bob 用 Alice 的 公 钥 解密 文件 ,从 而 验证 签名 。 

上 面 的 过 程 如 图 2-11 所 示 ,Alice 使 用 自己 的 私 钥 加 密 ,Bob 用 Alice 的 公 钥 进行 解密 。 


Bob 
的 公 钥 环 
SS 


传输 密 文 


明文 输出 


解密 算法 
(接收 加 密 算法 ) 
图 2-11 公开 密 钥 用 于 数字 签名 
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2.3.2 分 组 密码 与 序列 密码 


对 称 密 钥 密码 技术 是 从 传统 的 简单 换 位 .代替 密 码 发 展 而 来 的 , 自 1977 年 美国 颁布 
DES 密码 算法 作为 美国 数据 加 密 标准 以 来 ,对 称 密 钥 密码 技术 得 到 了 迅猛 发 展 ,在 世界 各 
国 得 到 了 广泛 关注 和 使 用 。 

因为 对 称 密码 系统 具有 加 解密 速度 快 、 安 全 强度 高 等 优点 ,在 军事 、 外 交 以 及 商业 应 用 
中 越 来 越 普遍 ; 由 于 存在 密 钥 发 行 与 管理 方面 的 不 足 ,在 提供 数字 签名 .身份 验证 等 方面 需 
要 与 公开 密 钥 密 码 系统 共同 使 用 ,以 达到 更 好 的 安全 效果 。 

对 称 密 钥 密码 技术 从 加 密 模 式 上 可 分 为 分 组 密码 与 序列 密码 两 类 。 

1. 序列 密码 

“一 次 一 密 ” 密 码 在 理论 上 是 不 可 破译 的 ,这 一 事实 使 人 们 感到 ,如 果 能 以 某 种 方式 效仿 
“一 次 一 密 ” 密 码 , 则 可 以 得 到 保密 性 很 高 的 密码 。 长 期 以 来 ,人 们 试图 以 序列 密码 方式 效仿 
“一 次 一 密 ” 密 码 , 从 而 促进 了 序列 密码 的 研究 和 发 展 。 

序列 密码 的 原理 如 图 2-12 所 示 ,序列 密码 的 加 解密 采用 简单 的 模 2 加 法 器 ,这 使 得 序 
列 密码 的 工程 实现 十 分 方便 。 


反 子 密 钥 


密 钥 序列 
产生 算法 


1 序列 
明文 ( 密 文 ) 序 列 密 文 (明文 ) 序 列 


图 2-12 序列 密码 原理 框图 


序列 密码 的 关键 是 产生 密 钥 序列 的 算法 ,由 于 通信 双方 必须 能 够 产生 相同 的 密 钥 序列 ， 
所 以 这 种 密 钥 序列 不 可 能 是 真 随机 序列 ,只 能 是 伪 随 机 序列 ,是 具有 良好 随机 性 和 不 可 预测 
性 的 伪 随 机 序列 。 通 过 有 限 状态 机 产生 性 能 优良 的 伪 随机 序列 ,使 用 该 序列 加 密 信息 流 , 逐 
位 加 密 得 到 密 文 序列 。 序 列 密码 算法 的 安全 强度 完全 取决 于 它 所 产生 的 伪 随 机 序列 的 好 坏 。 

如 果 密 钥 序列 产生 算法 与 明文 ( 密 文 ) 无 关 , 则 所 产生 的 密 钥 序列 也 与 明文 ( 密 文 ) 无 关 ， 
这 类 序列 密码 称 为 同步 序列 密码 。 对 于 同步 序列 密码 ,只 要 通信 双方 的 密 钥 序列 产生 器 具 
有 相同 的 种 子 密 钥 和 相同 的 初始 状态 ,就 能 产生 相同 的 密 钥 序列 。 在 保密 通信 过 程 中 ,通信 
双方 必须 保持 精确 的 同步 , 收 方才 能 正确 解密 ,否则 收 方 将 不 能 正确 解密 。 例 如 ,如 果 通 信 
中 丢失 或 增加 了 一 个 密 文字 符 , 则 收 方 的 解密 将 一 直 错误 .直到 重新 闻 步 为 止 。 这 是 同步 序 
列 密码 的 一 个 主要 缺点 。 但 是 同步 序列 密码 对 同步 的 敏感 性 ,使 人 们 能 够 容易 检测 插入 、 删 
除 、 重 播 等 主动 攻击 。 同 步 序 列 密码 的 优点 是 没有 错误 传播 , 当 通 信 中 某 些 密 文 字符 产生 了 
错误 (如 0 变 成 1, 或 1 变 成 0), 只 影响 相应 字符 的 解密 ,不 影响 其 他 字符 。 

如 果 密 钥 序列 产生 算法 与 明文 ( 密 文 ) 相 关 , 则 所 产生 的 密 钥 序列 也 与 明文 ( 密 文 ) 相 关 ， 
称 为 自 同 步 序列 密码 。 巾 于 自 同步 序列 密码 的 密 钥 序列 与 明文 ( 密 文 ) 相 关 , 所 以 加 密 时 如 
果 某 位 明文 出 现 错误 (如 0 变 成 1, 或 1 变 成 0) ,就 会 令 后 续 的 密 文 也 发 生 错误 。 解 密 时 如 
果 某 位 密 文 出 现 错误 ,就 会 令 后 续 的 明文 也 发 生 错误 ,从 而 造成 错误 传播 ,具体 的 加 解密 错 
误 传 播 长 度 与 其 密 钥 序列 产生 算法 的 结构 有 关 。 对 于 自 同步 序列 密码 ,在 失 步 (如 密 文 出 现 
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插 人 或 删除 ) 后 ,只 要 接收 端 连续 接收 到 一 定数 量 的 正确 密 文 , 通 信 双 方 的 密 钥 序列 产生 器 
便 会 自动 地 恢复 同步 ,因此 被 称 为 自 同步 序列 密码 。 

序列 密码 一 直 作为 军事 和 外 交 场 合 使 用 的 主要 密码 技术 之 一 ,A5 是 用 于 GSM 加 密 的 
序列 密码 ,被 用 于 加 密 从 移动 终端 到 基站 的 连接 。 

2. 分 组 密码 

分 组 密码 的 工作 方式 是 将 明文 分 成 固定 长 度 的 组 (如 64 位 一 组 ) ,用 同一 密 钥 和 算法 对 
每 一 组 加 密 ,输出 固定 长 度 的 密 文 。 

为 使 加 密 运算 可 道 (使 解密 运算 可 行 ) ,明文 的 每 一 个 分 组 都 应 产生 唯一 一 个 密 文 分 组 ， 
这 样 的 变换 是 可 逆 的 ,这 种 可 逆 变 换 称 为 代 换 , 代 换 可 以 使 用 己 盒 与 S 盒 实现 。 

换 位 盒 (P 盒 ): 将 输入 第 i 位 置 1, 其 余 置 0, 此 时 输出 为 1 的 那 一 位 即 为 换 位 后 所 对 应 的 位 。 

替代 盒 (S 盒 ): 也 称 为 选择 盒 , 是 一 组 高 度 非 线 性 函数 。 由 三 级 构成 ,第 一 级 将 二 进 制 
转化 成 十 进 制 ; 第 二 级 是 一 个 P 盒 ,进行 十 进 制 换 位 ; 第 三 级 将 换 位 后 的 十 进 制 转化 成 二 
进 制 输出 。 

图 2-13 表示 n==4 的 代 换 密码 的 一 般 结构 ,4 比特 输入 产生 16 个 可 能 输入 状态 中 的 一 
个 ,由 代 换 结构 将 这 一 状态 映射 为 16 个 可 能 输出 状态 中 的 某 一 个 ,每 一 输出 状态 由 4 个 密 
文 比特 表示 。 


| 4 比特 输入 | | 
0 1 | 
| 
0 1 2 3 站 3 6 7 8 9 10 1 12 9 1 1 
1 4 比特 多 出 1 
图 2-13 代 换 结构 


加 密 映 射 和 解密 映射 可 由 代 换 表 来 定义 ,如 表 2-1 所 示 。 这 种 定义 法 是 分 组 密码 最 常 
用 的 形式 ,能 用 于 定义 明文 和 密 文 之 间 的 任何 可 北上 映射 。 


表 2-1 代 换 表 
明文 十 进 制 换 位 密 文 明文 十 进 制 换 位 密 文 
0000 0 14 1110 1000 8 3 0011 
0001 1 4 0100 1001 9 10 1010 
0010 2 13 1101 1010 10 6 0110 
0011 3 1 0001 1011 型 12 1100 
0100 4 2 0010 1100 12 5 0101 
0101 5 下 1111 1101 13 9 1001 
0110 6 焉 1011 1110 14 0 0000 
0111 区 8 1000 1111 15 7 0111 
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目前 著名 的 分 组 密码 算法 有 DES IDEA、Blowfish、RC4、RC5 .FEAL 等 。 
2.3.3 DES 算法 


DES 主要 采用 替换 和 移 位 的 方法 进行 加 密 , 输 入 为 64 位 明文 , 密 钥 长 度 为 56 位 ,采用 
美国 国家 安全 局 精心 设计 的 8 个 S 盒 和 P 盒 置换 ,经 过 16 轮 迭 代 , 最 终 产生 64 位 密 文 ,其 
算法 框图 如 图 2-14 所 示 。 

1. DES 的 主要 应 用 范围 输入 

DES 是 一 种 世界 公认 的 较 好 的 加 密 算法 。 自 它 问世 以 来 ,成 
为 密码 界 研究 的 重点 ,经 受 住 了 许多 科学 家 的 研究 和 破译 ,在 民用 。 | 文 效 据 
密码 领域 得 到 了 广泛 的 应 用 。 它 曾 为 全 球 贸易 、 金 融 等 非 官 方 部 门 
提供 了 可 靠 的 通信 安全 保障 ,其 应 用 范围 如 下 。 

(1) 计算 机 网 络 通信 : 对 计算 机 网 络 通信 中 的 数据 提供 保护 是 
DES 的 一 项 重要 应 用 。 

(2) 电子 资金 传送 系统 : 采用 DES 的 方法 加 密 电 子 资金 传送 
系统 中 的 信息 ,可 准确 .快速 地 传送 数据 ,并 可 较 好 地 解决 信息 安全 
的 问题 。 

(3) 保护 用 户 文件 : 用 户 可 自选 密 钥 对 重要 文件 加 密 ,防止 未 
授权 用 户 窃 密 。 

(4) 用 户 识别 : DES 还 可 用 于 计算 机 用 户 识别 系统 中 。 图 2-14 DES 算法 框图 

任何 加 密 算 法 都 不 可 能 是 十 全 十 美的 , DES 的 缺点 是 密 钥 太 
短 , 影 响 了 它 的 保密 强度 。 此 外 ,由 于 DES 算法 完全 公开 ,其 安全 性 完全 依赖 于 对 密 钥 的 保 
护 ,必须 有 可 靠 的 信道 来 分 发 密 钥 ,因此 不 适合 在 网 络 环境 下 单独 使 用 。 

2. DES 算法 概要 

DES 运算 过 程 如 图 2-15 所 示 ,步骤 如 下 : 

(1) 对 64 位 明文 进行 初始 置换 ,改变 位 的 次 序 。 

(2) 把 明文 分 成 左右 各 32 位 的 两 个 块 ,L; 和 R;。 

(3) 在 图 中 的 密 钥 一 边 , 原 始 密 钥 被 分 成 两 半 。 

(4) 密 钥 的 每 一 半 向 左 循 环 移 位 ,然后 重新 合并 、 排 列 并 扩展 到 48 位 。 

(5) 在 图 的 明文 一 边 , 右 侧 的 32 位 块 被 扩展 到 48 位 。 

(6) 将 第 (4) 步 得 到 的 48 位 子 密 钥 和 第 (5) 步 得 到 的 48 位 块 进行 按 位 模 2 加 操作 。 

(7) 使 用 置换 函数 把 第 (6) 步 的 结果 转换 成 32 位 。 

(8) 把 第 (2) 步 创建 的 64 位 值 的 左边 一 半 与 第 (7) 步 的 结果 进行 XOR 操作 。 

(9) 第 (8) 步 的 结果 和 第 (2) 步 创建 的 块 的 右 半 部 分 共同 组 成 一 个 新 块 ,前 者 在 右边 ,后 
者 在 左边 。 

(10) 从 第 (4) 步 开始 重复 这 一 过 程 ,共和 迭代 16 次 。 

(11) 完成 最 后 一 次 迭代 后 ,经 过 逆 初 始 变换 ,得 到 64 位 密 文 。 

对 原始 明文 中 下 一 个 64 位 块 重复 整个 过 程 。 为 了 简洁 起 见 ,省 略 了 整个 过 程 中 的 许多 
复杂 细节 。 


斑 溃 下 号 洲 迪 训 芝 
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64 比 特 明文 
64 比 特 密 钥 
初始 置换 1 
删除 第 8, 第 16…… 共 8 位 校 验 信息 
1 
Lo(32) Ro(32) 置换 选择 1 
了 
天 i 
56 位 初始 子 密 钥 
昌 
Lo Ro 
L1(32) 
l 1 
LS LS 
昌 上 
Ll RI 
和 人 
Z2(32) LS LS; 
SS , 1 1 
Se 网 R 
DA T T 
[ss 
1 1 1 
2 LSie LSie 
Zic(32) 
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3. DES 算法 破解 


DES 算法 被 称 为 加 密 算法 的 非 军用 研究 和 发 展 的 开始 。20 世纪 70 年 代 , 除 了 为 军队 
或 情报 组 织 工作 以 外 ,只 有 很 少 的 密码 学 者 ,对 密码 学 的 学 术 研 究 也 很 少 。 一 整 代 的 密码 学 
者 都 拼命 分 析 ( 或 者 说 破解 )DES 算法 。 

DES 现在 已 经 不 是 一 种 安全 的 加 密 方 法 了 ,主要 是 因为 它 使 用 的 56 位 密 钥 过 短 。 
1999 年 1 月 ,电子 前 哨 基金 会 (EFF) 制 造 了 一 台 造 价 约 $250 000 的 DES 破解 器 ,如 图 2-16 
所 示 ,在 22 小 时 15 分 钟 内 公开 破解 了 一 个 DES 密 钥 。 

在 2001 年 ,DES 作为 一 个 标准 已 经 被 高 级 加 密 标准 (AES) 所 取代 ,2006 年 ,AES 已 然 
成 为 对 称 密 钥 加 密 中 最 流行 的 算法 之 一 。 


2.3.4 RSA 算法 


1976 年 以 前 都 采用 对 称 加 密 算 法 , 密 钥 的 保存 与 分 配 是 一 个 难题 。 因 此 ,两 位 美国 计 
算 机 学 家 Whitfield Diffie 和 Martin Hellman 提出 了 一 种 胃 新 的 构思 ,可 以 在 不 直接 传递 密 
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2-16 DES 破解 器 


钥 的 情况 下 完成 解密 ,这 被 称 为 “Diffie-Hellman 密 钥 交换 算法 ”。 

这 个 算法 启发 了 其 他 科学 家 。 人 们 认识 到 ,加 密 和 解密 可 以 使 用 不 同 的 规则 ,只 要 这 两 
种 规则 之 间 存 在 某 种 对 应 关系 即 可 ,这 样 就 避免 了 直接 传递 密 钥 。 这 种 新 的 加 密 模 式 被 称 
为 “ 非 对 称 加 密 算法 ”。 

1977 年 ,MIT 的 三 位 数学 家 Rivest、Shamir、Adleman 完成 了 RSA 公 钥 算法 ,奠定 了 电 
子 政务 .电子 商务 的 理论 基础 ,获得 了 2002 年 图 灵 奖 。 这 种 算法 非常 可 靠 , 密 钥 越 长 , 它 就 

根据 已 经 披露 的 文献 ,目前 被 破解 的 最 长 RSA 密 钥 是 768 个 二 进 制 位 。 也 就 是 说 ,长 
度 超过 768 位 的 密 钥 ,还 无 法 破解 (至 少 没 人 公开 宣布 )。 因 此 可 以 认为 ,1024 位 的 RSA 密 
钥 基 本 安全 ,2048 位 的 密 钥 极 其 安全 。 

1. RSA 算法 概要 

RSA 算法 非常 简单 ,概述 如 下 : 

找 两 素数 p 和 9g, 求 2 一 pa, 求 欧 拉 函数 %(z) 一 (bp 一 1)(q 一 1) 。 

取 任 何 一 个 数 e, 要 求 满足 1 二 e 二 $(n) ,并 且 e 与 $5(n) 互 素 ( 就 是 最 大 公 因 数 为 1) 。 

计算 e。 对 于 Y%(z) 的 模 反 元 素 4。 所 谓 “ 模 反 元 素 ” 就 是 指 有 一 个 整数 d, 可 以 使 得 ed 被 
$n) 除 的 余数 为 1。 

这 样 最 终 得 到 三 个 数 : n、d 、e。 

设 明 文 消息 为 数 mw (ma 过) , 则 m' 圭 c (mod n) ,得 到 加 密 后 的 消息 c ; 拿 到 密 文 < 后， 
从 夺 mm (mod nn) 中 求 得 ,从 而 完成 对 c 的 解密 (实际 应 用 中 ,de 可 以 互 换 ) 。 

nsd 两 个 数 构成 公 钥 ,可 以 告诉 别人 ; ne 两 个 数 构 成 私 钥 ,e 自己 保留 ,不 让 任何 人 知 
道 。 给 别人 发 送 的 信息 使 用 e 加 密 , 只 要 别人 能 用 4 解 开 就 证 明 信 息 是 由 你 发 送 的 ,构成 了 
签名 机 制 。 别 人 给 你 发 送信 息 时 使 用 & 加密, 这 样 只 有 拥有 。 的 你 才能 够 对 其 解密 。 

RSA 的 安全 性 在 于 对 于 一 个 大 数 ”没有 有 效 的 方法 能 够 将 其 分 解 ,从 而 在 已 知 md 
的 情况 下 无 法 获得 e; 同样 在 已 知 ne 的 情况 下 无 法 求 得 d。 
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2. RSA 实例 

下 面 通过 一 个 实例 ,看 看 实际 的 操作 。 

(1) 找 两 个 素数 p 二 61、.g 二 53。 实 际 应 用 中 ,这 两 个 素数 越 大 ,就 越 难 破解 。 

(2) 计算 p 与 g 的 乘积 n,n 二 pg 二 61X53 二 3233。n 的 长 度 就 是 密 钥 长 度 ,3233 写成 
二 进 制 是 110010100001, 一 共有 12 位 ,所 以 这 个 密 钥 就 是 12 位 。 实 际 应 用 中 ,RSA 密 钥 一 
般 是 1024 位 ,重要 场合 则 为 2048 位 。 

(3) 计算 的 欧 拉 函数 $n),$(n) 二 (p 一 1)(g 一 1) 二 60X52 二 3120。 

(4) 随机 选择 一 个 整数 e, 条 件 是 1 二 e 二 %(z), 且 e 与 上 (2) 互 素 。 假 设 在 1 到 3120 之 
间 ,随机 选择 e 一 17。 

(5) 计算 e 对 于 %y(z) 的 模 反 元 素 4 。 

ed 三 1 (mod $(n)) ,等 价 于 ed 一 1 = kg(n)。 已 知 e 一 17.%(2) 一 3120, 实 质 就 是 求解 
二 元 一 次 方程 17d 十 3120k 一 1 。 

这 个 方程 可 以 用 “扩展 欧 几 里 得 算法 "求解 ,此 处 省 略 具 体 过 程 。 最 后 算出 一 组 整数 解 
为 (d,k)=(2753, 一 15), 即 d=2753。 

(6) 将 nn 和 e 封装 成 公 钥 ,n 和 d 封装 成 私 钥 。 

例子 中 ,n= 二 3233,e= 二 17,d 二 2753, 所 以 公 钥 就 是 (3233,17), 私 钥 就 是 (3233,2753)。 
实际 应 用 中 , 公 钥 和 私 钥 的 数据 都 采用 ASN. 1 格式 表达 。 

(7) 假设 明文 六 =65(m 必须 是 小 于 n 的 整数 ,字符 串 可 以 取 ASCII 值 或 UNICODE 
值 ), 则 mx' 三 c (mod n), 即 657 三 c(mod 3233) ,得 到 密 文 c= 二 2790。 

(8) 得 到 密 文 c 后 ,根据 c 寺 m (mod n), 由 于 接收 者 已 知 d, 可 从 2790”3 圭 mm (mod 
3233) 中 求 出 m= 二 65 ,得 到 明文 。 

如 果 不 知道 4, 就 没有 办 法 从 c 求 出 m。 因 为 ,要 知道 4 就 必须 分 解 n, 这 是 极 难 做 到 
的 ,所 以 RSA 算法 保证 了 通信 和 安全。 

3. RSA 的 可 靠 性 

回顾 上 面 的 密 钥 生 成 步 又, 一共 出 现 6 个 数字 : p、gwn、$(n) ed。 这 6 个 数字 之 中 , 公 
钥 用 到 了 两 个 (” 和 。e) ,其 余 四 个 数字 都 是 不 公开 的 。 其 中 最 关键 的 是 d, 因 为 n 和 d 组 成 
了 私 钥 ,一 旦 d 泄漏 ,就 等 于 私 钥 泄 漏 。 

那么 ,有 无 可 能 在 已 知 和 。 的 情况 下 ,推导 出 d? 分 析 如 下 : 

(1) ed=1 (mod $(n)), 只 有 知道 e。 和 $$(n) ,才能 算出 a。 

(2) %(2) 一 (一 1)(q 一 1) ,只 有 知道 p 和 4g, 才能 算出 $(n)。 

(3) n 二 pq,; 只 有 将 因数 分 解 ,才能 算出 p 和 g。 

结论 : 如 果 n 可 以 被 因数 分 解 ,d 就 可 以 算出 ,也 就 意味 着 私 钥 被 破解 。 

可 是 ,大 整数 的 因数 分 解 ,是 一 件 非常 困难 的 事情 。 目 前 ,除了 暴力 破解 ,还 没有 发 现 别 
的 有 效 方法 。 

举例 来 说 ,可 以 对 3233 进行 因数 分 解 (61X53) ,但 是 没 法 对 下 面 这 个 整数 进行 因数 
分 解 。 

12301866845301177551304949583849627207728535695953347921973224521517264005 
072636575187452021997864693899564749427740638459251925573263034537315482685079 
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170261221429134616704292143116022212404792747377940806653514195974598569021434 
13 

它 等 于 这 样 两 个 质数 的 乘积 : 

33478071698956898786044169848212690817704794983713768568912431388982883793 
878002287614711652531743087737814467999489 * 36746043666799590428244633799627952 
632279158164343087642676032283815739666511279233373417143396810270092798736308 
917 

事实 上 ,这 大 概 是 人 类 已 经 分 解 的 最 大 整数 (232 个 十 进 制 位 ,768 个 二 进 制 位 )。 比 它 
更 大 的 因数 分 解 ,还 没有 被 报道 过 ,因此 目前 被 破解 的 最 长 RSA 密 钥 就 是 768 位 。 

4. RSA 的 局 限 

RSA 算法 是 第 一 个 能 同时 用 于 加 密 和 数字 签名 的 算法 ,也 易于 理解 和 操作 。RSA 是 
被 研究 得 最 广泛 的 非 对 称 算法 ,从 提出 到 现在 已 近 四 十 年 ,经 历 了 各 种 攻击 的 考验 ,逐渐 为 
人 们 接受 ,普遍 被 认为 是 目前 最 优秀 的 非 对 称 方案 之 一 。 

RSA 的 缺点 主要 有 : 

(1) 产生 密 钥 很 麻烦 ,受到 素数 产生 技术 的 限制 ,因而 难以 做 到 一 次 一 密 。 

(2) 分 组 长 度 太 大 ,为 保证 安全 性 ,n 至 少 也 要 600b 以 上 。 由 于 大 数 宕 运算 ,速度 比 对 
称 加 密 算法 慢 100 倍 , 通 常 加 密 中 并 不 是 直接 使 用 RSA 来 对 所 有 的 信息 进行 加 密 的 。 最 常 
见 的 情况 是 随机 产生 一 个 对 称 加 密 的 密 钥 , 然 后 使 用 对 称 加 密 算法 对 信息 加 密 ,之 后 用 
RSA 对 刚才 的 加 密 密 钥 进行 加 密 。 

随 着 大 数 分 解 技术 的 发 展 , 这 个 长 度 还 在 增加 ,不 利于 数据 格式 的 标准 化 。 目 前 ,SET 
(Secure Electronic Transaction) 协 议 中 要 求 CA 采用 2048 比特 的 密 钥 ,其 他 实体 使 用 1024 
比特 的 密 钥 。 


2.3.5 认证 与 数字 签名 


为 了 区 分 合法 用 户 和 非法 使 用 者 ,需要 对 用 户 进 行 认 证 。 认 证 技术 主要 就 是 解决 网 络 
通信 过 程 中 双方 的 身份 认可 ,数字 签名 作为 身份 认证 技术 中 的 一 种 具体 技术 ,还 可 用 于 通信 
过 程 中 不 可 抵赖 要 求 的 实现 。 

1. 用 户 名 和 口令 认证 

在 任何 一 种 安全 系统 中 ,身份 认证 都 是 第 一 步 需 要 进行 的 工作 。 打 开 一 台 计 算 机 需要 
进行 用 户 登 录 ; 进入 一 个 E-mail 邮箱 需要 输入 用 户 名 和 密码 。 身 份 认证 的 目的 在 于 向 系 
统 证 明 你 是 何人 ,如 果 认 证 通过 , 则 系统 允许 进入 并 赋予 相应 的 权限 ,否则 系统 将 禁止 访问 。 

身份 认证 涉及 两 方面 的 信息 : 用 户 身份 识别 号 和 用 户 密码 。 用 户 身份 识别 号 用 于 唯一 
标识 用 户 身 份 ,在 身份 认证 系统 中 ,用 户 与 身份 识别 号 应 该 一 一 对 应 ,每 一 个 用 户 都 有 一 个 
唯一 的 识别 号 ,每 一 个 识别 号 也 只 能 代表 一 个 用 户 。 用 户 密码 用 于 向 系统 提供 信息 以 验证 
用 户 身份 的 正确 性 ,通常 在 系统 端 有 一 个 用 户 名 和 密码 表 , 通 过 比较 表 中 的 内 容 和 输入 项 可 
以 确定 密码 的 正确 性 。 

通过 口令 进行 身份 认证 是 最 常用 的 一 种 认证 方式 ,但 这 种 以 更 态 口 令 为 基础 的 认证 方 
式 存 在 很 多 问题 ,最 明显 的 是 以 下 几 种 。 
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1) 网 络 数 据 流 窃 听 

由 于 认证 信息 要 通过 网 络 传 递 ,并 且 很 多 认证 系统 的 口令 是 未 经 加 密 的 明文 ,因此 攻击 
者 通过 窃听 网 络 数据 ,很 容易 分 辨 出 某 种 特定 系统 的 认证 数据 ,并 提取 出 用 户 名 和 口令 。 

2) 认证 信息 截取 / 重 放 

有 的 系统 会 将 认证 信息 进行 简单 加 密 后 传输 ,如 果 攻 击 者 无 法 用 第 一 种 方式 推算 出 密 
码 , 可 以 使 用 截取 / 重 放 方式 。 

3) 字典 攻击 

由 于 多 数 用 户 习惯 使 用 有 意义 的 单词 或 数字 作为 密码 , 某 些 攻击 者 会 使 用 字典 中 的 单 
词 来 尝试 用 户 的 密码 。 所 以 大 多 数 系统 都 建议 用 户 在 口令 中 加 入 特殊 字符 以 增加 口令 的 安 
全 性 。 

4) 穷 举 尝试 

这 是 一 种 特殊 的 字典 攻击 , 它 使 用 字符 串 的 全 集 作 为 字典 ,如 果 用 户 的 密码 较 短 ,很 容 
易 被 穷 举 出 来 ,因而 很 多 系统 都 建议 用 户 使 用 长 口令 。 

2. 一 次 性 口令 

为 了 解决 静态 口令 的 诸多 问题 ,安全 专家 提出 了 一 次 性 口令 的 密码 体制 ,以 保护 关键 资 
源 , 其 主要 思路 是 在 登录 过 程 中 加 入 不 确定 因素 ,使 每 次 登录 过 程 中 传送 的 信息 都 不 相同 ， 
从 而 提高 登录 过 程 的 安全 性 。 例 如 : 

登录 密码 二 MD5( 用 户 名 ”密码 ”时 间 ) 

系统 接收 到 登录 口令 后 做 一 个 验算 , 即 可 验证 用 户 的 合法 性 。 

一 次 性 口令 一 般 分 为 计 次 使 用 和 计时 使 用 两 种 。 计 次 使 用 的 一 次 性 口令 产生 后 ,可 以 
在 不 限时 间 内 使 用 ; 计时 使 用 的 一 次 性 口令 则 可 以 设 定 密码 有 效 时 间 , 从 30 秒 到 两 分 钟 
不 等 。 

一 次 性 口令 在 进行 认证 之 后 即 废弃 不 用 ,下 次 认证 必须 使 用 新 的 密码 ,增加 了 试图 不 经 
授权 存 取 有 限制 资源 的 难度 。 一 次 性 口令 已 经 在 金融 .电信 、 网 游 等 领域 被 广泛 应 用 ,有 效 
地 保护 了 用 户 的 安全 。 

如 图 2-17 所 示 的 网 上 银行 手机 动态 密码 功能 ,银行 以 手机 短信 形式 发 送 随 机 密码 到 用 
户 的 预 留 手机 上 ,用 户 通过 在 图 中 所 示 的 页 面 上 输入 手机 动态 密码 和 相关 业务 密码 ,认证 用 
户 身 份 。 只 有 在 用 户 静态 口令 (交易 密码 ) 和 一 次 性 口令 (动态 密码 ) 同 时 正确 的 前 提 下 , 才 
能 认证 通过 ,从 而 提高 对 外 转账 或 其 他 重要 交易 的 安全 性 。 


转账 金额 10, 000. 00 
大 写 金额 过 万 元 整 
手续 虽 支 付 方式 转 出 方 支付 手续 费 
交易 密码 
动态 密码 动态 验证 码 序号 : 80) 如 未 收 到 , 可 在 6 秒 后 单 击 重 发 


图 2-17 网 上 银行 手机 动态 密码 


3. 数字 签名 
日 常生 活 中 ,通过 对 某 一 文档 进行 签名 来 保证 文档 的 真实 有 效 性 ,对 签字 方 进行 约束 ， 
防止 其 抵赖 。 数 字 签 名 由 公 钥 密码 发 展 而 来 , 它 在 网 络 安全 ,包括 身份 认证 数据 完整 性 、 不 


第 2 章 密码 技术 35 


可 否认 性 以 及 匿名 性 等 方面 有 着 重要 应 用 。 在 网 络 环境 中 使 用 数字 签名 ,可 以 为 电子 商务 
提供 不 可 否认 服务 。 

数字 签名 是 指使 用 密码 算法 对 待 发 的 数据 进行 加 密 处 理 , 生 成 一 段 信息 ,附着 在 原文 上 
一 起 发 送 , 这 段 信息 类 似 现实 生活 中 的 签名 或 印章 ,接收 方 对 其 进行 验证 ,判断 原文 的 真 伪 。 

其 过 程 是 先 用 双方 约定 的 Hash 算法 将 原文 压缩 为 数据 摘要 (在 数学 上 保证 : 只 要 改 
动 报 文 的 任何 一 位 ,重新 计算 出 的 报 文摘 要 就 会 与 原先 值 不 符 ,这 样 就 保证 了 报 文 的 不 可 更 
改 ) ,然后 将 该 摘要 用 发 送 者 的 私 钥 加 密 , 再 将 该 密 文 同 原文 一 起 发 送 给 接收 者 ,所 产生 的 报 
文 即 称 数字 签名 。 

接收 方 收 到 数字 签名 后 ,用 同样 的 Hash 算法 对 报 文 计算 摘要 值 , 然 后 与 用 发 送 者 的 公 
开 密 钥 进行 解密 后 得 到 的 报 文 摘要 值 相 比较 。 如 相等 则 说 明报 文 确实 来 自发 送 者 ,因为 只 
有 用 发 送 者 的 签名 私 钥 加 密 的 信息 才能 用 发 送 者 的 公 钥 解 开 , 从 而 保证 了 数据 的 真实 性 。 

数字 签名 过 程 如 图 2-18 所 示 。 


发 端 
tt sy 
明 明 by 收 端 算出 的 
a 文 | 一 发 送 一 一 报 文摘 要 
M M 
经 过 报 文 大 是 站 区 
摘要 运算 要 ! \ 
MD [ 加 密 的 报 文摘 要 
2 附加 在 明文 后 面 四 
得 出 报 文 摘要 加 密 的 报 文摘 要 得 出 解密 的 报 文摘 要 


图 2-18 数字 签名 过 程 


4. 基于 PKI 的 认证 


PKICPubic Key Infrastructure) 是 利用 公 钥 理论 和 技术 建立 的 提供 安全 服务 的 基础 设 
施 , 是 一 种 遵循 标准 的 利用 公 钥 加 密 技 术 为 电子 商务 的 开展 提供 一 套 安 全 基础 平台 的 技术 
和 规范 ,是 电子 商务 的 关键 和 基础 技术 ,是 通过 使 用 公开 密 钥 技术 和 数字 证 书 来 确保 系统 信 
息 安 全 并 负责 验证 数字 证 书 持 有 者 身份 的 一 种 体系 ,通过 第 三 方 的 可 信任 机 构 一 一 认证 中 
心 CCertificate Authority,CA) ,把 用 户 的 公 钥 和 用 户 的 其 他 标识 信息 (如 名 称 、E-mail、 身 份 
证 号 等 ) 拥 绑 在 一 起 ,在 Internet 上 验证 用 户 的 身份 。 

CA 是 证 书 的 签发 机 构 , 它 是 PKI 的 核心 。CA 中 心 为 每 个 使 用 公开 密 钥 的 用 户 发 放 
一 个 数字 证 书 ,数字 证 书 的 作用 是 证 明证 书 中 列 出 的 用 户 合法 拥有 证 书 中 列 出 的 公开 密 钥 。 
CA 机 构 的 数字 签名 使 得 攻击 者 不 能 伪造 和 算 改 证 书 。 它 负责 产生 分配 并 管理 所 有 参与 
网 上 交易 的 个 体 所 需 的 数字 证 书 , 因 此 是 安全 电子 交易 的 核心 环节 。 

由 于 通过 网 络 进行 的 电子 商务 .电子 政务 .电子 事务 等 活动 缺少 物理 接触 ,因此 使 得 用 
电子 方式 验证 信任 关系 变 得 至 关 重 要 。 而 PKI 技术 恰好 是 一 种 适合 电子 商务 .电子 政务 、 
电子 事务 的 密码 技术 , 它 能 够 有 效 地 解决 电子 商务 应 用 中 的 机 密 性 真实 性 、 完 整 性 ,不 可 否 
认 性 和 存 取 控制 等 安全 问题 。 

从 广义 上 讲 , 所 有 提供 公 钥 加 密 和 数字 签名 服务 的 系统 ,都 可 叫 作 PKI 系统 ,PKI 的 主 
要 目的 是 通过 自动 管理 密 钥 和 证 书 , 为 用 户 建立 一 个 安全 的 网 络 运 行 环境 ,使 用 户 可 以 在 多 
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种 应 用 环境 下 方便 地 使 用 加 密 和 数字 签名 技术 ,从 而 保证 网 上 数据 的 机 密 性 、 完 整 性 、 有 
效 性 。 

数据 的 机 密 性 是 指数 据 在 传输 过 程 中 ,不 能 被 非 授权 者 偷 看 ; 数据 的 完整 性 是 指数 据 
在 传输 过 程 中 不 能 被 非法 算 改 ; 数据 的 有 效 性 是 指数 据 不 能 被 否认 。 

一 个 实用 的 PKI 体系 应 该 是 安全 的 、 易 用 的 、 灵 活 的 和 经 济 的 。 它 必须 充分 考虑 互 操 
作 性 和 可 扩展 性 。 它 是 认证 机 构 注册 机 构 、 策 略 管理 、 密 钥 与 证 书 管理 、 密 钥 备 份 与 恢复 、 
撤销 系统 等 功能 模块 的 有 机 结合 。 

一 个 有 效 的 PKI 系 统 必 须 是 安全 的 和 透明 的 ,用 户 在 获得 加 密 和 数字 签名 服务 时 ,不 
需要 详细 了 解 PKI 是 怎样 管理 证 书 和 密 钥 的 ,一 个 典型 ,完整 有效 的 PKI 应 用 系统 至 少 应 
具有 以 下 部 分 : 

(1) 公 钥 密码 证 书 管理 ; 

(2) 黑 名 单 的 发 布 和 管理 ; 

(3) 密 钥 的 备份 和 恢复 ; 

(4) 自动 更 新 密 钥 ; 

(5) 自动 管理 历史 密 钥 ; 

(6) 支持 交叉 认证 。 

基于 PKI 的 认证 使 用 公开 密 钥 体系 进行 认证 和 加 密 , 综 合 采用 了 摘要 算法 、 不 对 称 加 
密 、 对 称 加 密 .数字 签名 等 技术 ,很 好 地 将 安全 性 和 高 效率 结合 在 一 起 ,广泛 应 用 在 电子 邮 
件 、 应 用 服务 器 ,访问 客户 认证 、 防 火 墙 验 证 等 领域 。 

具有 数字 签名 功能 的 个 人 安全 邮件 证 书 是 用 户 证 书 的 一 种 , 它 对 普通 电子 邮件 做 加 密 
和 数字 签名 处 理 ,确保 电 子 邮 件 内 容 的 安全 性 、 机 密 性 、 发 件 人 身份 确认 性 和 不 可 抵赖 性 。 
具有 数字 签名 功能 的 个 人 安全 邮件 证 书 中 包含 证 书 持 有 人 的 电子 邮件 地 址 .证 书 持 有 人 的 
公 钥 、 颁 发 者 以 及 颁发 者 对 该 证 书 的 签名 。 

使 用 个 人 安全 邮件 证 书 可 以 收发 加 密 和 数字 签名 邮件 ,保证 电子 邮件 传输 中 的 机 密 性 、 
完整 性 和 不 可 否认 性 ,确保 电子 邮件 通信 各 方 身份 的 真实 性 。 目 前 , MS Outlook .Outlook 
Express、Foxmail 等 电子 邮件 系统 均 支 持 相 应 功能 。 

【 例 2-1】 安全 邮件 证 书 的 申请 。 

如 果 用 户 想得到 一 份 属于 自己 的 证 书 , 他 应 先 向 CA 提出 申请 。 在 CA 判明 申请 者 的 
身份 后 ,为 他 分 配 一 个 公 钥 ,并 且 CA 将 该 公 钥 与 申请 者 的 身份 信息 绑 在 一 起 ,在 为 之 签字 
后 ,形成 证 书 发 给 申请 者 。 

(1) 在 浏览 器 中 输入 “中 国 数字 认证 网 ”网 址 www. ca365. com ,第 一 次 访问 时 自动 出 现 
如 图 2-19 所 示 的 “添加 证 书 ” 对 话 框 。 


潜在 的 脚本 冲突 


和 


区 于 如 果 您 信任 此 网 站 ， 请 单 击 “ 是 ”。 否 则 ,请 单 


[Law jCsa 


2-19 添加 证 书 对 话 框 
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(2) 单 击 “是 ”按钮 ,出 现 “ 安 全 警告 "对 话 框 ,如 图 2-20 所 示 。 


您 即 阁 从 一 个 声称 代表 如 下 的 证 书 颁 发 机 构 安装 证 书 : 
CA385 Test Root Certificate 


Windows 不 能 确认 证 书 是 否 来 自 "CA385 Test Root Certificate"。 该 与 
“CA365 Test Root Certificate” 联 系 ， 以 确认 证 书 来 源 。 下 列 此 过 
程 中 对 您 有 帮助 : 


指纹 (shal): 3964D899 AD4C9ECT BCF9BBAE 6E60226D CD6ESBAD 


i 动 信任 所 有 此 CA .安装 未 经 指 
tt : 


您 想 安装 此 证 书 吗 ? 


a | 
图 2-20 “安全 警告 "对 话 框 
(3) 单 击 “ 是 ”按钮 ,完成 安装 后 的 网 站 首页 如 图 2-21 所 示 。 


本 中 国 数 字 WA 网 - 360 安 全 浏览 器 文件 昌 ” 编 过 ( 昌 查看 M) 收藏 A) 工具 帮助 d | 一 | 口 | | 
人 只.QR 人 mm : [DY http://www.ca365.com/ ~ 国 ( 量 cooor - Q) 
: 后 有 前 进 停止 刷新 主页 撤销 

Ee DD ew px 


57 中 国 数字 认证 
-一 一 


= 证书 查询 > 。 。 用 PFCs10 文 件 中 请 证 书 。 。 。 用 表格 中 请 证 书 。 
用 于 折 站 根 以 证 书 。 如 果 您 是 第 一 次 访问 本 让 点 请 下 载 并 安装 恨 CA 证 节 。 
直 ”证书 吊 勿 列表 。 发 布 时 间 ; 2006-6-25 11:25:50 


2 EN 详情 >》 
管理 员 信箱 9 证 书 查询 9 9 用 PKCS10 文 件 申请 证 书 3 用 表格 申请 证 书 8 
ca3658sohu. con 者 根 cA 证 书 加 果 次 是 第 一 次 访问 本 站 点 请 下 载 并 安装 根 CA 证 书 。 
下 ”证 书 品 销 列 表 。 发 布 时 间 : 2006-6-25 13:27:40 


在 线 支 和 一 一 一 一 
EE (END 志 详 和 >》 
9 证 书 查询 > “3 用 PKCS10 文 件 申请 证 书 3 。“。 用 表格 申请 证 书 9 
者 根 ch 证书 如 果 浆 是 第 一 次 访问 本 站 点 请 下 载 并 安装 根 CA 证 书 。 


项 好 课件 网 
赴 ”证 书 员 销 列表 。 发布 时 间 : 2005-6-26 10:48:14 


Tor 


版 权 所 有 ”严禁 拷 由 
一 言 TrP 和 nresndono 豆 -2 | 


国 寺 和 仿 县 | 周 1006 ~- 


2-21 网 站 首页 


(4) 在 "免费 证 书 " 栏 中 单 击 * 用 表格 申请 证 书 ” 链 接 , 出 现 * 申 请 免费 证 书页 面 , 填 写 表 
格 , “证书 用 途 ” 栏 目 中 选择 “电子 邮件 保护 证 书 ”, 如 图 2-22 所 示 。 

(5) 单 击 “ 提 交 ” 按 钮 ,出 现 如 图 2-23 所 示 的 对 话 框 。 

(6) 单 击 “ 是 ”按钮 ,出 现 “ 正 在 创建 新 的 RSA 交换 密 钥 ” 对 话 框 ,如 图 2-24 所 示 。 

(7) 单 击 “ 确 定 ” 按 钮 .证书 申 请 成 功 ,如 图 2-25 所 示 。 
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国 口 Exsz- > EEE 


申请 免费 证 书 “请 关闭 “ 同 际 块 车 ”等 自动 下 载 工具 7 | 
识别 信息 : 


7] 


126 eon 


网 址 : [http://hein blogen com 


证 书 册 限 : [二 车 国 | 


在 线 克 持 


NSH: ea3859soha com 


TREEi 件 网 


TOP 


版 权 所 有 ”严禁 持 由 


EE 
密切 选项 
加 克服 务 提供 : [Weronoft Dvr crm enhie LO 


密 铀 用 法 ; O 〇 交换 。 〇 签名 。 @ 了 者 
窗 胃 大 小: [512 | 全 入 , 澡 (Ra sa at 


新 窑 候 对 
口 识 轩 安 洛 名 称 
〇 使 用 现存 的 至 钼 对 
回 启 用 严格 宣 由 保护 
加 标记 记名 为 可 导出 
附加 选项 : 
Hash 算法 : [SC 靖 ( 仅 用 于 申请 各) 


菠 案 : 。 加 开放 ( 区 主 你 的 证 忆 在 网 上 公开 检索 ) 
个 不 开放 (不 化 许 纸 的 证 书 在 网 上 公开 检索 ) 
加 车 音 密 码 技术 | 


2-22 填写 申请 表格 


潜在 的 丢 本 冲突 
企 其 各 一 个 新 的 证 书 。 修 应 该 只 允许 信任 的 网 站 为 颂 请求 证书 。 


是 GO 


图 2-23 请求 证书 对 话 框 


正在 创建 新 的 RSA 交换 密 乌 


CryptoAPI 税 钥 


安全 级 别 被 设 成 中 级 设置 安全 统 别 @G). 


确定 取消 详细 信息 中) 


2-24 “正在 创建 新 的 RSA 交换 密 钥 ”对话 框 
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酸 中 国 数字 兴 证. : 文件 日 、” 编 各 (查看 VW) 收 总 向 ”工具 帮助 (HH 一 | 口 | X 
:人 和 .昌之 合 :0 http://www.ca365.com/ ”六 
: JR 前 进 停止 书 新 主页 沼 销 : 

: (oo0le - a) 


| 口 maz.. x 24 x 


贺 305 证 书 序列 号 ， 054417869045B466 


[me 和 Tee 日 | 证 书 申请 已 经 发 布 给 您， 请 下 载 并 安装 证 书 | 
(过 RingxR 以 上 操作 系统 ) 


@ (254-187, 550-368) 念 景 | 局 100% ~ 


图 2-25 证 书 申 请 成 功 
(8) 单 击 “ 直 接 安装 证 书 ” 按 钮 ,如 图 2-26 所 示 。 


潜在 的 脚本 冲突 


A 


修 想 让 此 程序 现在 添加 证 所 吗 ? 如 果 您 信任 此 网 站 ,请 单 击 “ 是 ”。 否则 ,请 单 击 “ 否 ”。 


Ca ]Csw 
图 2-26 ”安装 证 书 
(9) 单 击 “ 是 ”按钮 ,安装 成 功 后 ,页 面 如 图 2-27 所 示 。 
项 中 国 数字 认证 :文件 四” 编 名 四 ”查看 VW 收 A) 工具 中 才 助 册 [一 [ 口 [Xx 
舍 醒 、 中 合 四 | 口 httpy/www.ca365.com/ |. 
: 后 有 前进 “停止 剧 新 主页 撤销 : i 
CE » Q) 
| 口 中 国 至 字 -，x 4bx 
加 3 
2009 年 7 月 26 日 安装 成 功 1 
含量 回 10o% - 
图 2-27 安装 成 功 
(10) 根 证 书 成 功 安装 后 成 为 “受信 任 的 根 证 书 颁 发 机 构 ”。 执 行 浏览 器 的 “工具 ”| 


“Internet 选项 ”命令 ,选择 "内容" 标签 ,如 图 2-28 所 示 。 
(11) 单 击 “ 证 书 ”, 出 现 “ 证 书 ” 对 话 框 ,如 图 2-29 所 示 ,列表 中 显示 相应 的 根 证 书 。 
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案 规 [安全 | 隐私 ] 内 容 | 连接 | 程序 |] 高 级 | 
分 银 审 查 
EF 信条 和 和 近 制 丰 语 计 生机 上 看 9 Tnternet 


司 用 加. 设置 中 


证 书 


ee 证 书 筑 发 机 构 和 籁 发 育 的 


清除 ssL 状态 加 ] [证书 加 ，] [发 站 四 ] 
个 人 信息 


ei 


[Su®... | Whew | 


i 证 -9 预期 目的 
ee 


Ca Cum] SR 
图 2-28 内 容 标签 图 2-29 显示 证 书 
【 例 2-2】 安全 邮件 证 书 的 使 用 。 
如 果 一 个 用 户 想 鉴 别 一 个 证 书 的 真 伪 , 可 以 用 CA 的 公 钥 对 那个 证 书 上 的 签字 进行 验 
证 ,一 旦 验证 通过 ,该 证 书 就 被 认为 是 有 效 的 。 
(1) 打开 电子 邮件 软件 Foxmail, 如 图 2-30 所 示 。 


Foxmail [heinhe®@126. com] 


国 固 hexuechen@shiep. edu. en 
国 轩 =henl119638126. com 
田力 heinaeitiz net 


图 2-30 ”Foxmail 界面 

(2) 右键 单 击 申请 时 填写 的 邮箱 ,执行 “属性 ”命令 ,出 现 “ 邮 箱 账户 设置 ”对话 框 , 单 击 
“安全 ”选项 ,如 图 2-31 所 示 。 

(3) 单 击 “ 选 择 ” 按 钮 ,出 现 “ 选 择 证 书 ” 对 话 框 ,如 图 2-32 所 示 。 


安全 
证 贱 颖 科 生 这 将 决定 此 账户 在 发 送 签名 邮件 时 所 


多 | 


[ | ] 


ET 
二 


二 
3DES (168 bits) 总 


记 枉 JJL 邢 


图 2-31 邮箱 账户 设置 


请 为 电子 邮件 地 址 “heinhe8126. com” 选择 证 书 。 


查看 证 书 o) 


图 2-32 “选择 证 书 ” 对 话 框 
(4) 选择 申请 的 证 书 , 单 击 “ 确 定 ” 按 钮 “邮箱 账户 设置 "对 话 框 如 图 2-33 所 示 。 


岂 箱 账户 设置 


加 heinhe@126. co 
TPR 天 -一 


依 贱 医科 二 这 格 决 定 此 账户 在 发 送 签名 邮件 时 所 


CC 要 本] 
有 效 期 起 始 日 期 2009-07-28 到 2010-07-28 


[本 二 加] 


汪 生生 下 全 性 的 工法。 这 项 信息 会 被 包含 到 您 
| 使 其 地 人 可 以 用 这 项 设置 给 您 发 送 加 密 


3DES (168 bits) El 


[CL 琵 ] ET" 


2-33 证 书信 息 
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(5) 单 击 “ 确 定 ” 按 钮 ,返回 主 界面 。 撰 写 邮件 ,执行 “工具 ”|“ 数 字 签 名 ”命令 , 单 击 “ 发 
送 ? 按 钮 ,出现 如 图 2-34 所 示 的 对 话 框 。 


正在 用 您 的 专用 交换 富 钥 签名 数据 


图 2-34 在 电子 邮件 中 添加 数字 签名 


(6) 单 击 “ 确 定 ” 按 钮 ,完成 邮件 发 送 。 
(7) 接收 并 查看 邮件 ,显示 “数字 签名 邮件 ”帮助 信息 ,如 图 2-35 所 示 。 


Faxmail [hexuechen@shiep. edu. cn] 


文件 四 查看 此 邮箱 唱 邮件 则 工具 中 帮助 4) 


国 国 heinbaonline sh en 
国 图 winkmaail on 
es eon st *”2009 年 7 月 26 日 (时 期 二 ) 12:58 6 ee 
Re i em 
曾 发 条 2006 年 介 ters 联 合 实验 室 大 ， 2000 革 1 月 0 日 量 基 i651 1 pt 
国 已 因 ap 们 条 区 
会 垃 元件 条 
一 唐人 箱 
昌国 boroecherdshiop. ctu am 
一 收 位 箱 四 
总 发 件 箱 
国 已 ip 件 箱 
登 垃 吉 邮 们 箱 
而 诬 伞 箱 
国 chenl119830128 con 


锻 此 邮件 由 发 件 人 数字 签名 。 


ee 全 人 0 本 半生 二 让 性 抽 够 让 您 确认 一 封 邮件 的 真实 性 一 即 邮件 确实 来 自 该 发 
人 ， 日 相传 输 过 程 中 未 被 复 改 过。 签名 邮件 带 有 签名 邮件 图 标 


签名 邮件 可 能 出 现 的 任何 问题 都 将 在 本 信息 之 后 可 能 出 现 的 “安全 警告 "中 
人 如 果 存 在 问题 ， 您 应 该 认为 邮件 已 被 复 改 ， 或 并 非 来 自 所 谓 的 发 


当 收 到 一 封 加 密 邮件 时 ， 和 您 应 该 可 以 自信 地 认为 邮件 未 被 任何 第 三 者 读 过 。 
Foxmail 会 自动 对 电子 邮件 解密 ， 如 果 在 您 的 计算 机 上 装 有 正确 的 数字 标 


三“ 不 机 显示 此 帮助 帮 其 设 有 可 以 显示 的 项 
EE 


图 2-35 数字 签名 邮件 帮助 信息 


(8) 单 击 “ 继 续 ” 按 钮 ,查看 邮件 内 容 。 单 击 右 上 角 的 “显示 签名 信息 ”图 标 ( 转 ) ,可 以 
查看 签名 信息 ,如 图 2-36 所 示 。 
(9) 访问 “中 国 数字 认证 网 ”, 单 击 其 中 的 “证 书 查询 ”, 出 现 如 图 2-37 所 示 的 页 面 
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BC2 (40bits) 


[L_ 坦 看 签名 证 书 员 ). 

加 密 
邮件 是 否 被 加 密 :; 
加 密 算法 : 


可 看 加 密 证 书 是 ) 


图 2-36 查看 签名 信息 


后 中 国 允 闻 认证 网 - 360 安 全 庆 澳 器 文件 旧 ”病句 查看 WV) 收藏 W) IRD Ww) [=|D|x| 
i 中 :全 全 中 :Dhoom ~ [el (ooo -a) 


:后退 前 进 “停止 剧 新 主页 撤兵 


免费 证 书 查询 目 , [FS 国 输入 查询 内 容 : 

Oe 003 004 O05 06 0 006 009 0I0 Ol ol2 013 014 05 016 017 0l8 019 

‘02 02 03 024 025 028 027 028 09 030 03! 032 033 034 036 037 038 

040 041 042 043 044 045 046 047 049 050 05! 052 053 054 055 056 至 

059 060 081 0e2 083 064 065 066 Oo6T 068 069 or0 ol oe 073 074 075 ore 

os of9 000 Ol O82 083 O04 085 086 O87 088 069 090 091 092 093 094 095 

om7 0 0 100 10l le 109 104 105 10 107 109 109 110 M1 Me 113 34 

Hs MT Ha 09 lz0 Hal lzz 123 lzt 125 128 l27 128 129 1390 13 132 139 

135 5 

454 155 156 457 158 i58 1:60 16! tl62 163 164 165 166 167 166 i169 170 171 

Ty 1 5 16 iT 8 179 90 i8l lg 16 104 05 i96 187 le 199 190 

i192 199 1% 1% 19% 197 1% 199 20l 202 203 204 205 206 207 206 209 

2 a2 a3 24 As a6 Ur 28 219 220 Zl 222 223 224 25 225 227 228 后 -页 合计 :9010 

20 2 22 23 24 25 2% 27 238 29 240 241 242 243 24 245 286 247 本 

249 250 251 252 253 255 256 251 258 259 250 26l 282 263 264 265 256 

288 269 ZO ZH 212 U3 ZT 275 216 2 218 219 200 20l 282 283 204 285 

207 200 209 20 2 22 2 2 25 2% 2 20 299 300 301 302 303 304 

3 30 308 m3 MO Mi Me 3 3M 35 le A Ig 3l9 320 32l 322 323 

了 5 306 21 8 3 20 Dl He 39 234 35 3 3 28 39 30 Ml M2 
一 M4 345 36 30 M8 349 350 351 352 353 354 355 356 351 358 359 3600 3%l 

383 364 365 388 367 368 9 0 I He 373 He MS Me I 378 379 390 

302 383 384 385 306 387 39 369 30 391 392 303 4 35 3% 397 HW 39 

4 42 49 404 405 405 MT 408 409 40 4 ai2 43 dl4 415 418 4i7 dl8 

49 <20 421 422 423 424 425 426 427 428 429 430 431 432 4 4M 45 4% 4 
ToPGs | 3 


DO ET EC | 2 | am | ii | 
个 人 个 人 上 海 上 海 


所有 王将 由 1 0544176590458466 Enwil 。 轩 当 展 

88015000298-2 | 2 cassaxaxeeTE44c client 。 天 天 读书 俱 乐 天 天 天 记忆 你 可 营销 部 站 江苏 更 放 
3 4D19996016C35944 Client 。 蓝海 物流 有 限 公 司 至 海 物流 有 限 公司 物流 部 江苏 第 州 
4 690F028AD6B50T85 Fnail shmily 千 州 经 工学 院 呆 文 秘 331 江苏 香 州 
5 Taa4e4hEDesohlnz Email 。 andone Fl 人 可 可 I be 
SPTeCBBDPAF2EIR Email rileyt 信州 研 工 职业 技术 学 院 管理 江苏 特 放 
7 6BAB2TF268I00CCE CLiwnt 。 蓝海 物流 有 限 公司 蓝海 物流 有 限 公司 和 法 I 和 放 
8。 0208459MFES3ME nsil 快意 通 党 HI 公司 力 公 室 
日 ”08060441EA24AC58 Fnail 下 彬 村内 生产 部 

加 一 有 ] 
国 


图 2-37 证 书 查询 页 面 


Q10) 选择 "查询 项 目 "为 “名 称 ”, 在 “输入 查询 内 容 "中 输入 “ 贺 雪 晨 ”, 单 击 "查询 "按钮 ， 
可 以 看 到 数字 证 书 的 相关 信息 ,如 图 2-38 所 示 。 
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后 中 ari 网 - 360 安 全 江 器 :文件 昌 。” 坊 坊 (EE) 查看 VW) 收藏， 工具 站 帮助 中 | 一 | 口 | x 


< 这 Sz2 -3 金富 ™ : [BD ipywwaas6scom ~ ll: (Gooo0ge -a) 


免费 证 书 查 询 选 村 查询 项 目 ; [古国 输入 查询 内 容 : Ee [El 


CT EH EE EEN EI CTI NE rE 


加 要 蝴 个 人 个 、 上海 上 海 2009-1-28 12:35:00 2010-7-28 12:35:00 


全 丸 | 加 100% = 


图 2-38 证 书 查询 结果 


5. SSL/TLS 协议 


基于 PKI 技术 ,人 们 又 开发 了 很 多 安全 协议 ,其 中 最 著名 、 应 用 最 为 广泛 的 是 SSL/ 
TLS 协议 和 SET 协议。 

传输 层 安全 协议 (Transport Layer Security, TLS) 及 其 前 身 安全 套 接 层 (Secure 
Sockets Layer,SSL) 是 一 种 安全 协议 ,目的 是 为 互联 网 通信 提供 安全 及 数据 完整 性 保障 。 

在 网 景 公司 (Netscape) 推 出 首 版 Web 浏览 器 的 同时 提出 了 SSL,IETF 将 SSL 进行 了 
标准 化 , 即 RFC2246 ,于 1999 年 公布 了 TLS 标准 文件 。 从 技术 上 讲 ,TLS 1.0 与 SSL 3.0 
的 差别 非常 微小 。 

安全 套 接 层 (Secure Socket Layer,SSL) 协 议 利用 PKI 技术 进行 身份 认证 、 完 成 数据 加 
密 算法 及 其 密 钥 协商 ,很 好 地 解决 了 身份 验证 ,加密 传输 和 密 钥 分 发 等 问题 。SSL 被 广泛 
接受 和 使 用 ,是 一 个 通用 的 安全 协议 ,在 SSL 协议 上 可 以 运行 所 有 基于 TCP/IP 的 网 络 应 
用 。SSL 协议 通信 过 程 如 图 2-39 所 示 。 


图 2-39 SSL 协议 通信 过 程 


从 TCP/IP 模型 上 ,SSL 是 一 个 介 于 HTTP 与 TCP 之 间 的 一 个 可 选 层 。 如 果 利 用 
SSL 协议 来 访问 网 页 ,其 步骤 如 下 。 
(1) 用 户 : 在 浏览 器 的 地 址 栏 里 输入 https://www. xxx. com。 


骂 
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(2) HTTP 层 : 将 用 户 需求 翻译 成 HTTP 请 求 ,如 


GET /index. htm HTTP/1.1 
Host www. xxx. com 


(3) SSL 层 : 借助 下 层 协议 的 信道 安全 协商 出 一 份 加 密 密 钥 ,并 用 此 密 钥 来 加 密 
HTTP 请 求 。SSL 在 TCP 之 上 建立 了 一 个 加 密 通 道 ,通过 这 一 层 的 数据 经 过 了 加 密 , 因 此 
达到 保密 的 效果 。 

(4) TCP 层 : 与 Web Server 的 443 端口 建立 连接 ,传递 SSL 处 理 后 的 数据 。 

(5) SSL 客户 端 (也 是 TCP 的 客户 端 ) : 在 TCP 连接 建立 之 后 ,发 出 一 个 ClientHello 
来 发 起 握手 ,这 个 消息 里 面包 含 了 自己 可 实现 的 算法 列表 和 其 他 一 些 需要 的 消息 。 

(6) SSL 服务 器 端 : 回应 一 个 ServerHello, 这 里 面 确定 了 这 次 通信 所 需要 的 算法 ,然后 
发 过 去 自己 的 证 书 (里 面包 含 了 身份 和 自己 的 公 钥 ) 。 

(7) SSL 客户 端 : 收 到 这 个 消息 后 会 生成 一 个 秘密 消息 ,用 SSL 服务 器 的 公 钥 加 密 后 
传 过 去 。 

(8) SSL 服务 器 端 : 用 自己 的 私 钥 解 密 后 ,会 话 密 钥 协商 成 功 ,双方 可 以 用 同一 份 会 话 
密 钥 来 通信 。 

如 果 上 面 的 说 明 不 够 清晰 ,这 里 用 个 形象 的 比喻 : 假设 A 与 B 通 信 ,A 是 SSL 客户 端 ， 
B 是 SSL 服务 器 端 ,加 密 后 的 消息 放 在 方 括号 ([]) 里 ,以 突出 明文 消息 的 区 别 。 双 方 的 处 
理 动作 的 说 明 用 圆 括号 (() ) 括 起 来 。 

A: 我 想 和 你 安全 地 通话 ,我 这 里 的 对 称 加 密 算法 有 DES 和 RC5, 密 钥 交 换算 法 有 
RSA 和 DH ,摘要 算法 有 MD5 和 SHA。 

B: 我 们 用 DES 一 RSA 一 SHA 这 对 组 合 好 了 。 

B: 这 是 我 的 证 书 , 里 面 有 我 的 名 字 和 公 钥 ,你 拿 去 验证 一 下 我 的 身份 (把 证 书 发 给 A) 。 

A: (查看 证 书 上 B 的 名 字 是 否 无 误 , 并 通过 手头 早已 有 的 CA 的 证 书 验证 了 也 证 书 的 
真实 性 ,如 果 其 中 一 项 有 误 ,发 出 警告 并 断 开 连 接 , 这 一 步 保证 了 B 公 钥 的 真实 性 )。 

A: (产生 一 份 秘密 消息 ,这 份 秘密 消息 处 理 后 将 用 作 加 密 密 钥 ,加 密 初 始 化 向 量 和 
HMAC 的 密 钥 。 将 这 份 秘密 消息 (协议 中 称 为 per_master_secret) 用 B 的 公 钥 加 密 , 封 装 成 
称 作 ClientKeyExchange 的 消息 。 由 于 用 了 B 的 公 钥 ,保证 了 第 三 方 无 法 窃听 ) 。 

A: 我 生成 了 一 份 秘密 消息 ,并 用 你 的 公 钥 加 密 了 ,给 你 (把 ClientKeyExchange 发 给 B) 。 

A: 注意 ,下 面 我 就 要 用 加 密 的 办 法 给 你 发 消息 了 ! 

A: (将 秘密 消息 进行 处 理 , 生 成 加 密 密 钥 ,加 密 初始 化 向 量 和 HMAC 的 密 钥 ) 。 

A: [我 说 完了 ] 。 

B: (用 自己 的 私 钥 将 ClientKeyExchange 中 的 秘密 消息 解密 出 来 ,然后 将 秘密 消息 进 
行 处 理 , 生 成 加 密 密 钥 ,加 密 初 始 化 向 量 和 HMALC 的 密 钥 ,这 时 双方 已 经 安全 协商 出 一 套 
加 密 办 法 了 )。 

B: 注意 ,我 也 要 开始 用 加 密 的 办 法 给 你 发 消息 了 1! 

B: [我 说 完了 ]。 

A: [我 的 秘密 是 ……] 

B: [其 他 人 不 会 听 到 的 ……] 
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6. SET 协议 

安全 电子 交易 (Secure Electronic Transaction ,SET) 协 议 采 用 公 钥 密码 体制 和 X. 509 
数字 证 书 标准 ,主要 应 用 于 B to C 模式 中 保障 支付 信息 的 安全 性 。SET 协议 是 PKI 框架 下 
的 一 个 典型 实现 ,同时 也 在 不 断 升 级 和 完善 ,国外 的 银行 和 信用 卡 组 织 大 都 采用 了 SET 协 
议 。SET 协议 工作 流程 如 图 2-40 所 示 。 


- 协商 审核 _r 一 -一 
四 订单 在 线 收音 
名 | Wi “| 商 银行 
审核 | “| 批准 
发 卡 银行 


图 2-40 SET 协议 工作 流程 


SET 协议 比 SSL 协议 复杂 ,在 理论 上 安全 性 也 更 高 。 因 为 前 者 不 仅 加 密 两 个 端点 间 的 
单个 会 话 ,还 可 以 加 密 和 认定 三 方面 的 多 个 信息 ,这 是 SSL 协议 不 能 解决 的 问题 。 使 用 
SET 协议 ,在 一 次 交易 中 ,要 完成 多 次 加 密 与 解密 操作 ,由 于 其 对 于 消费 者 、 客 户 和 银行 三 
方面 的 要 求 都 非常 高 ,因此 不 容易 推广 ,而 SSL 协议 则 以 其 便捷 性 和 可 以 满足 现实 要 求 的 
安全 性 得 到 不 少 用 户 的 青睐 。 

由 于 在 基于 SET 协议 的 交易 流程 中 ,最 主要 的 一 点 就 是 要 确认 交易 各 方 的 身份 ,这 就 
要 求 通过 电子 安全 证 书 进行 检验 ,而 这 些 证 书 要 由 CA 认证 中 心 来 发 放 , 在 SET 中 主要 的 
证 书 有 持 卡 人 证 书 、 商 户 证 书 和 支付 网 关 证 书 。 

下 面 是 基于 SET 协议 的 网 上 购物 (B to C) 的 简单 过 程 : 

(1) 客户 在 自己 的 计算 机 里 安装 一 个 电子 钱包 ,然后 到 CA 认证 中 心 去 申请 一 个 证 书 。 

(2) 客户 通过 浏览 器 在 某 网 上 商店 选 好 商品 ,把 它 放 到 购物 车 里 结算 ,在 结账 单 里 填写 
姓名 地址、 联系 方式 ,启动 电子 钱包 ,输入 密码 ,在 电子 钱包 里 选 一 张 卡 来 付款 。 

(3) 计算 机 上 出 现 一 个 确认 商店 的 窗口 ,这 就 是 来 自 于 CA 和 支付 网 关 的 信息 : 商家 证 
书 正在 验证 这 家 商店 是 否 为 已 经 通过 认证 的 真实 商店 。 

(4) 确认 商店 后 ,接着 验证 客户 的 账户 里 是 否 有 足够 的 钱 。 当 通过 支付 网 关 进 入 银行 
网 络 完成 验证 并 反馈 回来 的 时 候 , 客 户 卡 中 的 钱 实际 上 已 经 从 账户 中 扣除 了 ,客户 的 购物 程 
序 已 经 完成 。 

(5) 银行 从 客户 账户 中 扣 出 的 货款 并 没有 马上 放 到 商户 的 账户 里 ,银行 会 定时 自动 生 
成 一 个 报表 ,然后 跟 商 户 服 务 器 上 生成 的 报表 一 一 对 照 ,一 旦 确认 ,银行 才 会 把 款 划 到 商户 
的 账户 里 。 

(6) 商户 根据 服务 器 收 到 的 订购 要 求 和 订单 号 码 开始 发 货 。 

在 基于 SET 协议 的 整个 交易 过 程 中 ,银行 只 看 到 客户 卡 信息 而 看 不 到 订单 信息 ,商户 
只 看 到 订单 信息 , 见 不 到 客户 卡 信 息 , 这 样 就 保证 了 整个 交易 过 程 的 完整 性 ,保密 性 和 安 
全 性 。 
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7. 认证 的 选择 

作为 用 户 ,并 不 能 决定 商家 采用 何 种 认证 机 制 , 但 可 以 用 脚 投票 。 比 如 说 ,如 果 你 想 开 
通 一 家 银行 的 网 上 银行 , 它 只 用 密码 认证 ,并 且 可 以 无 限额 转账 ,你 敢 用 吗 ? 

但 作为 商家 ,并 不 是 安全 性 越 高 越 好 ,还 要 综合 考虑 经 济 性 与 便利 性 ,最 主要 的 是 要 根 
据 业 务 的 需要 。 

例如 一 个 普通 的 论坛 ,除了 登录 密码 外 , 没 Es J 
必要 每 次 发 帖 时 再 要 求 输 入 二 次 密码 。 如 果 是 县 录 密码 03 1 1 
采用 货 到 付款 ,那么 商家 只 用 登录 密码 进行 认证 nw | 04 | 1 1 
也 是 可 以 接受 的 ,因为 即使 密码 被 资 ,也 不 会 损 所 ~ = 
失 什么 ; 而 如 果 账 号 上 有 余额 或 礼品 卡 的 话 , 那 ”ma 信人) 
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么 只 用 登录 密码 进 认 证 就 显得 有 些 单薄 了 。 USBKey | Ee | 
图 2-41 从 安全 性 ,经 济 性 ,便利 性 对 各 类 认 i 
证 方式 进行 评分 (1 为 最 高 分 ), 仅 供 参考 。 图 2-41 各 种 认证 方式 的 评分 
2.3.6 密 钥 管理 


“秘密 必须 全 部 寅 于 密 钥 之 中 ”, 这 是 密码 学 的 一 个 公理 。 要 想 保 得 住 密 , 不 仅仅 是 把 密 
码 体制 (算法 ) 设 计 得 当 就 行 了 ,而 且 对 密码 体制 (算法 ?的 使 用 .密码 设备 的 使 用 以 及 密 钥 管 
理 都 要 得 当 才 行 。 

密 钥 管理 包括 密 钥 的 产生 、 分 配 .注入 存储、 传递 和 使 用 ,其 中 密 钥 的 分 配 最 为 关键 。 

1. 共享 密 钥 的 获得 

两 个 用 户 A 和 B 在 用 单 密 钥 密码 体制 进行 保密 通信 时 ,必须 有 一 个 共享 的 秘密 密 钥 ， 
获得 共享 密 钥 的 方法 有 以 下 几 种 : 

(1) 密 钥 由 A 选取 并 通过 物理 手段 发 送 给 B。 

(2) 密 钥 由 第 三 方 选取 并 通过 物理 手段 发 送 给 A 和 B。 

这 两 种 方法 称 为 人 工 发 送 。 在 通信 网 中 , 若 只 有 个 别 用 户 想 进 行 保密 通信 , 密 钥 的 人 工 
发 送 是 可 行 的 。 然 而 如 果 所 有 用 户 都 要 求 支持 加 密 服 务 , 则 任意 一 对 希望 通信 的 用 户 都 必 
须 有 一 个 共享 密 钥 。 对 nn 个 用 户 , 密 钥 数 目 为 n(n 一 1)/2。 因 此 当 很 大 时 , 密 钥 分 配 的 代 
价 非常 大 , 密 钥 的 人 工 发 送 是 不 可 行 的 。 

(3) 如 果 A、B 事先 已 有 一 密 钥 , 则 其 中 一 方 选取 新 密 钥 后 ,用 已 有 的 密 钥 加 密 新 密 钥 
并 发 送 给 另 一 方 。 

对 于 第 三 种 方法 ,攻击 者 一 旦 获得 一 个 密 钥 后 ,就 可 以 获取 以 后 所 有 的 密 钥 。 而 且 用 这 
种 方法 对 所 有 用 户 分 配 初 始 密 钥 时 ,代价 仍然 很 大 。 

(4) 如 果 A 和 也 与 第 三 方 C 分 别 有 一 保密 信道 , 则 C 为 A、B 选取 密 钥 后 ,分 别 在 两 个 
保密 信道 上 发 送 给 A、B。 

第 (4) 种 方法 比较 常用 ,其 中 的 第 三 方 通常 是 一 个 负责 为 用 户 分 配 密 钥 的 密 钥 分 配 中 
心 。 每 一 个 用 户 与 密 钥 分 配 中 心 有 一 个 共享 密 钥 , 称 为 主 密 钥 。 通 过 主 密 钥 分 配给 一 对 用 
户 的 密 钥 称 为 会 话 密 钥 ,用 于 这 一 对 用 户 之 间 的 保密 通信 。 通 信 完 成 后 ,会 话 密 钥 即 被 销 
毁 。 对 nn 个 用 户 , 会 话 密 钥 数 为 n(n 一 1)/2, 但 主 密 钥 数 却 只 需 n 个 。 
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2. 多 密 钥 的 管理 

假设 某 机 构 有 100 人 ,如 果 任 意 两 人 之 间 需 要 进行 保密 通信 , 且 任 何 两 人 之 间 需 要 不 同 
的 密 钥 , 则 每 个 人 应 记 住 99 个 密 钥 。 如 果 机 构 的 人 数 是 1000、10 000 或 更 多 ,这 种 办 法 就 
显然 过 于 思春 了 ,管理 密 钥 将 是 一 件 可 怕 的 事情 。 

在 希腊 神话 中 ,Kerberos 是 守护 地 狱 之 门 的 三 头 狗 。 在 计算 机 世界 里 ,美国 麻 省 理工 
学 院 (MIT) 把 他 们 开发 的 ,根据 密 匙 分 配 中 心 (Key Distribution Center,KDC) 来 验证 网 络 
中 计算 机 身份 的 系统 命名 为 Kerberos。 

Kerberos 提供 了 一 种 解决 多 密 钥 管理 的 较 好 方案 ,每 个 用 户 只 要 知道 一 个 和 KDC 进 
行 会 话 的 密 钥 ,而 不 需要 知道 成 百 上 千 个 不 同 的 密 钥 。 

假设 用 户 甲 想 同 用 户 乙 进 行 保 密 通 信 , 则 用 户 甲 先 与 KDC 通信 ,使 用 只 有 用 户 甲 和 
KDC 知道 的 用 户 甲 的 主 密 钥 进行 加 密 。 用 户 甲 告诉 KDC 他 想 和 用 户 乙 进行 通信 ,KDC 会 
为 用 户 甲 和 用 户 乙 之 间 的 会 话 随机 选择 一 个 会 话 密 钥 ,并 生成 一 个 标签 。 

这 个 标签 用 用 户 乙 的 主 密 钥 进行 加 密 , 并 在 用 户 甲 启动 与 用 户 乙 的 会 话 时 ,用 户 甲 把 这 
个 标签 交 给 用 户 乙 。 这 个 标签 的 作用 是 让 用 户 甲 确信 和 他 交谈 的 是 用 户 乙 ,而 不 是 冒充 者 。 
因为 这 个 标签 是 通过 只 有 用 户 乙 和 KDC 知道 的 用 户 乙 的 主 密 钥 进行 加 密 的 ,所 以 即使 冒 
充 者 得 到 用 户 甲 发 出 的 标签 也 不 可 能 进行 解密 ,只 有 用 户 乙 收 到 后 才能 够 进行 解密 ,从 而 确 
定 与 用 户 甲 对话 的 人 就 是 用 户 乙 。 

KDC 生成 随机 会 话 密 钥 后 ,将 其 用 用 户 甲 的 主 密 钥 进行 加 密 , 然 后 把 它 传 给 用 户 甲 ,加 
密 的 结果 可 以 确保 只 有 用 户 甲 能 得 到 这 个 信息 ,只 有 用 户 甲 能 利用 这 个 会 话 密 钥 和 用 户 乙 
进行 通话 。 同 理 ,KDC 将 会 话 密 钥 用 用 户 乙 的 主 密 钥 加 密 , 并 将 其 传 给 用 户 乙 。 

用 户 甲 启动 一 个 同 用 户 乙 的 会 话 ,并 用 得 到 的 会 话 密 钥 加 密 自 己 和 用 户 乙 的 会 话 ,还 要 
把 KDC 传 给 它 的 标签 传 给 用 户 乙 以 确定 用 户 乙 的 身份 ,然后 用 户 甲 和 用 户 乙 之 间 就 可 以 
用 会 话 密 钥 进行 安全 会 话 了 。 

为 了 保证 安全 ,这 个 会 话 密 钥 是 一 次 性 的 ,这 样 黑 客 就 更 难 进行 破解 了 。 同 时 用 户 只 需 
记 住 自己 的 密 钥 ,方便 了 人 们 的 通信 。 


2.3.7 密码 学 新 技术 


目前 国际 上 对 于 非 数学 的 密码 理论 和 技术 非常 关注 ,包括 量子 密码 、 基 于 生物 特征 的 密 
码 技术 等 。 

1. 量子 密码 

从 理论 上 说 ,传统 的 基于 数学 的 加 密 方法 都 是 可 以 破译 的 ,再 复杂 的 数学 密 钥 也 可 以 找 
到 规律 。 但 量子 密码 突破 了 传统 加 密 方 法 的 束缚 ,以 量子 状态 作为 密 钥 ,具有 不 可 复制 性 ， 
是 真正 无 法 破译 的 密码 ,是 “绝对 安全 "的 。 

量子 密码 学 的 理论 基础 是 量子 力学 ,而 以 往 密码 学 的 理论 基础 是 数学 。 与 传统 密码 学 
不 同 ,量子 密码 学 利用 物理 学 原理 保护 信息 。 首 先 想到 将 量子 物理 用 于 密码 技术 的 是 美国 
科学 家 威 斯 纳 。 威 斯 纳 在 “ 海 森 堡 测 不 准 原理 ”和 “ 单 量子 不 可 复制 定理 ”的 基础 上 ,逐渐 建 
立 了 量子 密码 的 概念 。 

量子 密码 最 基本 的 原理 是 “量子 纠缠 ”, 被 爱 因 斯 坦 称 为 “神秘 的 远 距 离 活 动 ” 的 量子 纠 
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缠 , 是 指 粒子 间 即 使 相距 遥远 也 是 相互 联结 的 。 大 多 数量 子 密码 通信 利用 的 都 是 光子 的 偏 
振 特 性 ,一 对 纠缠 的 光子 一 般 有 两 个 不 同 的 偏振 方向 ,就 像 计算 机 语言 里 的 0 和 1。 根 据 量 
子 力学 原理 ,在 光子 对 中 ,光子 的 偏振 方向 是 不 确定 的 ,只 有 当 其 中 一 个 光子 被 测量 或 受到 
干扰 , 它 才 有 明确 的 偏振 方向 ,而 一 旦 它 的 偏振 方向 被 确定 ,另外 一 个 光子 就 被 确定 为 与 之 
相关 的 偏振 方向 。 当 两 端的 检测 器 使 用 相同 的 设 定 参数 时 ,发 送 者 和 接收 者 就 可 以 收 到 相 
同 的 偏振 信息 ,也 就 是 相同 的 随机 数字 串 。 另 外 ,量子 力学 认为 ,粒子 的 基本 属性 存在 于 整 
个 组 合 状 态 中 ,所 以 由 纠缠 光子 产生 的 密码 只 有 通过 发 送 器 和 接收 器 才能 阅读 。 窃 听 者 很 
容易 被 检测 到 ,因为 他 们 在 偷 走 其 中 一 个 光子 时 不 可 避免 地 要 扰乱 整个 系统 。 

当前 量子 密码 研究 的 核心 内 容 是 如 何 利 用 量子 技术 在 量子 通道 上 安全 可 靠 地 分 配 密 
钥 。 量 子 密 钥 分 配 的 安全 性 由 “ 海 森 堡 测 不 准 原理 ”及 “ 单 量 子 不 可 复制 定理 ”保证 。“ 海 森 
保 测 不 准 原理 ”是 量子 力学 的 基本 原理 , 它 说 明了 观察 者 无 法 同时 准确 地 测量 待 测 物 的 “位 
置 ”与 “动量 ”。“ 单 量子 不 可 复制 定理 ”是 “ 海 森 堡 测 不 准 原理 ”的 推论 , 它 指 在 不 知道 量子 状 
态 的 情况 下 复制 单个 量子 是 不 可 能 的 ,因为 要 复制 单个 量子 就 只 能 先 做 测量 ,而 测量 必然 改 
变量 子 的 状态 。 根 据 这 两 个 原理 ,即使 量子 密码 不 幸 被 黑客 获取 ,也 因为 测量 过 程 中 会 改变 
量子 状态 ,而 得 到 毫 无 意义 的 数据 ,同时 信息 合法 接收 者 也 可 以 从 量子 状态 的 改变 而 知道 密 
钥 曾 被 截获 过 。 

目前 ,量子 密码 的 全 部 研究 还 在 实验 室 中 ,没有 进入 实用 阶段 。2005 年 ,中 科 院 量子 信 
息 重点 实验 室 在 国际 上 首次 经 由 实际 通信 光路 实现 了 125km 单 向 量子 密 钥 分 配 。2008 年 
年 底 ,欧洲 研 究 人 员 成 功 地 进行 了 量子 密 钥 分 布 演示 ,演示 内 容 包括 电话 通信 和 视频 会 议 以 
及 一 个 关于 * 基 于 量子 加 密 的 安全 通信 网 络 "(SECOQC) 功 能 的 路 由 实验 验证 ,实验 的 平均 
链 路 长 度 为 20 一 30km, 最 长 链 路 长 达 83km, 这 一 结果 已 完全 打破 了 以 往 的 所 有 纪录 ,从 而 
使 安全 量子 加 密 通 信和 系统 的 实用 化 又 迈 出 了 巨大 的 一 步 。 

2. 基于 生物 特征 的 密码 技术 

生物 识别 技术 (Biometric Identification Technology) 是 利用 人 体 生 物 特征 进行 身份 认 
证 的 一 种 技术 。 这 些 身体 特征 包括 指纹 、 声 音 、 面 部 .骨架 、 视 网 膜 、 虹 腊 和 DNA 等 人 体 的 
生物 特征 ,以 及 签名 的 动作 ,行走 的 步 态 、 击 打 键 盘 的 力度 等 个 人 的 行为 特征 。 

生物 识别 技术 的 核心 在 于 如 何 获取 这 些 生物 特征 ,并 将 其 转换 为 数字 信息 ,存储 于 计算 
机 中 ,利用 可 靠 的 匹配 算法 来 完成 验证 与 识别 个 人 身份 。 

生物 特征 识别 系统 分 为 硬件 和 软件 两 部 分 ,硬件 部 分 包括 负责 测量 的 传感器 ,软件 则 将 
记录 资料 用 以 比较 。 

图 像 分 析 技术 的 发 展 . 计 算 机 功能 的 提升 、 传 感 器 成 本 的 下 降 , 是 促成 生物 特征 识别 技 
术 发 展 的 要 素 。 

生物 识别 之 所 以 能 够 作为 个 人 身份 鉴别 的 有 效 手段 ,是 由 它 自 身 的 特点 所 决定 的 ,这 些 
特点 是 普遍 性 、 唯 一 性 、 稳 定性、 不 可 复制 性 。 

(1) 普遍 性 : 生物 识别 所 依赖 的 身体 特征 基本 上 是 人 人 生来 就 有 的 ,用 不 着 向 有 关 部 
门 申请 或 制作 。 

(2) 唯一 性 和 稳定 性 : 每 个 人 的 指纹 、 掌 纹 、 面 部 ,发 音 、 虹 膜 、 视 网 膜 、 骨 架 等 都 与 别人 
不 同 , 且 终 生 不 变 。 

(3) 不 可 复制 性 : 随 着 计算 机 技术 的 发 展 ,复制 钥匙 、 密 码 卡 以 及 盗 取 密 码 \ 口 令 等 都 
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变 得 越发 容易 ,然而 要 复制 人 的 活体 指纹 、 掌 纹 面部、 虹膜 等 生物 特征 就 困难 得 多 。 

所 有 生物 识别 系统 都 包括 以 下 几 个 处 理 过 程 : 采集 、 解 码 、 比 对 和 匹配 。 

生物 图 像 采 集 使 用 高 精度 的 扫描 仪 摄像机 等 光学 设备 ,以 及 基于 电容 、 电 场 技术 的 蝇 
体 传 感 芯片 ,超声 波 扫描 设备 .红外线 扫描 设备 等 。 在 数字 信息 处 理 方面 ,高 性 能 、 低 价格 的 
数字 信号 处 理 器 已 开始 大 量 应 用 于 民用 领域 ,其 对 于 系统 所 采集 的 信息 进行 数字 化 处 理 的 
功能 也 越 来 越 强 。 在 比 对 和 匹配 技术 方面 ,各 种 先进 的 算法 不 断 开发 成 功 ,大 型 数据 库 和 分 
布 式 网 络 技 术 的 发 展 ,使 得 生物 识别 系统 的 应 用 得 以 顺利 实现 。 

3. 指纹 识别 系统 

指纹 是 人 体 独 一 无 二 的 特征 ,它们 的 复杂 度 足 以 提供 用 于 鉴别 的 特征 ,可 靠 性 高 。 

1) 指纹 识别 技术 的 优点 

相对 于 其 他 身份 认证 技术 ,指纹 识别 技术 是 一 种 更 为 理想 的 身份 确认 技术 ,因为 它 具 有 
很 高 的 实用 性 、 可 行 性 ,具体 体现 在 以 下 几 个 方面 : 

(1) 每 个 人 的 指纹 都 是 独一无二 的 ,两 个 人 之 间 不 存在 相同 的 指纹 。 

(2) 每 个 人 的 指纹 是 相当 固定 的 ,不 会 随 着 人 的 年 龄 的 增长 或 身体 健康 程度 的 变化 而 
变化 ,但 是 人 的 声音 等 却 存在 较 大 变化 的 可 能 。 

(3) 指纹 样本 便于 获取 ,易于 开发 识别 系统 ,实用 性 强 。 目 前 已 有 标准 的 指纹 样本 库 ， 
方便 了 识别 系统 的 软件 开发 ; 另外 ,识别 系统 中 完成 指纹 采样 功能 的 硬件 部 分 也 较 易 实现 。 
而 视网膜 则 难于 采样 ,也 没有 标准 的 视网膜 样本 库 供 开发 者 使 用 ,这 就 导致 视网膜 识别 系统 
难以 开发 ,可行 性 较 低 。 

(4) 一 个 人 的 十 指 指纹 皆 不 相同 ,这 样 可 以 方便 地 利用 多 个 指纹 构成 多 重 口令 ,提高 系 
统 的 安全 性 。 

(5) 指纹 识别 中 使 用 的 模板 并 非 最 初 的 指纹 图 ,而 是 从 指纹 图 中 提取 的 关键 特征 ,这 样 
使 系统 对 模板 库 的 存储 量 较 小 。 另 外 ,对 输入 的 指纹 图 提取 关键 特征 后 ,可 以 大 大 减少 网 络 
传输 的 负担 ,便于 实现 异地 确认 ,支持 计算 机 的 网 络 功能 。 

2) 指纹 的 关键 特征 

指纹 的 关键 特征 包括 总 体 特征 和 局 部 特征 。 只 要 比 对 13 个 特征 点 重合 ,就 可 以 确认 是 
同一 个 指纹 。 

总 体 特 征 是 指 那些 用 肉眼 直接 就 可 以 观察 到 的 特征 ,包括 纹 形 .模式 区 、 核 心 点 .三 角 点 
和 纹 数 。 

(1) 纹 形 主要 有 环形 弓形、 螺旋 形 三 种 ,如 图 2-42 所 示 , 其 他 的 指纹 图 案 都 基于 这 三 
种 基本 图 案 。 


(a) 环形 (b) 弓形 
2-42 ” 纹 形 
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(2) 如 图 2-43 所 示 的 模式 区 是 指 指纹 上 包括 了 总 体 特征 的 区 域 ,从 模式 区 就 能 够 分 辨 
出 指纹 是 属于 哪 一 种 类 型 的 ,有 的 指纹 识别 算法 只 使 用 模式 区 的 数据 。 

(3) 如 图 2-44 所 示 的 核心 点 位 于 指纹 纹路 的 渐进 中 心 , 它 在 读 取 指纹 和 比 对 指纹 时 作 
为 参考 点 。 许 多 算法 是 基于 核心 点 的 ,只 能 处 理 和 识别 具有 核心 点 的 指纹 。 

(4) 如 图 2-45 所 示 的 三 角 点 位 于 从 核心 点 开始 的 第 一 个 分 叉 点 或 者 断 点 ,或 者 两 条 纹 
路 会 聚 处 ,孤立 点 、 折 转 处 。 三 角 点 提供 了 指纹 纹路 计数 跟踪 的 开始 之 处 。 

(5) 如 图 2-46 所 示 是 纹 数 指 模式 区 内 指纹 纹路 的 数量 。 在 计算 指纹 纹 数 时 ,一 般 先 连 
接 核 心 点 和 三 角 点 ,这 条 连 线 与 指纹 纹路 相交 的 数量 即 可 认为 是 指纹 的 纹 数 。 


加 代入 人 
直人 估 合作 


局 部 特征 是 指 指纹 上 节点 的 特征 ,这 些 具 有 某 种 特征 的 节点 称 为 特征 点 。 指 纹 纹路 并 
不 是 连续 的 ,平滑 笔直 的 ,而 是 经 常 出 现 中 断 、 分 叉 或 打折 ,这 些 断 点 、 分 义 点 和 转折 点 就 称 
为 特征 点 。 两 枚 指纹 经 常会 具有 相同 的 总 体 特征 ,但 它们 的 局 部 特征 (特征 点 ) , 却 不 可 能 完 
全 相同 。 就 是 这 些 特征 点 提供 了 指纹 唯一 性 的 确认 信息 。 

3) 指纹 识别 系统 的 处 理 流程 

指纹 识别 系统 的 处 理 流程 包括 指纹 图 像 的 
采集 、 图 像 特征 的 提取 和 分 析 、 比 对 和 匹配 三 部 
分 ,如 图 2-47 所 示 。 

指纹 图 像 的 采集 可 以 采用 光学 录入 技术 
(将 手指 放 在 一 个 用 加 膜 的 玻璃 制 成 的 台 板 
上 ) ,超声 波 录入 技术 (手指 不 必 直 接 接触 台 板 ， 


使 用 超声 波 进行 扫描 )、 芯 片 录入 技术 (将 手指 屯 注册 登记 

放 在 一 枚 邮票 大 小 的 硅 芯片 的 表面 ) 三 种 方法 
完成 指纹 图 像 的 录入 。 然 后 对 图 像 特征 进行 提 

取 、 分 析 , 最 后 依照 特征 值 与 数据 库 中 原来 存储 国 247 者 以 识 生 及 第 

的 指纹 图 像 特征 进行 比 对 和 匹配 。 

4) 常见 指纹 识别 系统 

除了 传统 的 公安 自动 指纹 识别 系统 及 如 图 2-48 所 示 的 门禁 系统 外 ,还 出 现 了 指纹 刍 
盘 、 指 纹 鼠标 .指纹 手机 等 产品 。 

(1) 指纹 鼠标 。 在 如 图 2-49 所 示 的 指纹 鼠标 上 ,使 用 者 通过 轻 规 位 于 鼠标 上 端的 指 尖 
传感器 ,鼠标 驱动 查找 已 经 被 输入 PC 系统 的 模块 并 进行 对 比 。 一 旦 指纹 被 识别 ,使 用 者 就 
可 以 启动 PC 的 操作 系统 。 为 了 安全 起 见 ,如 果 长 时 间 不 动 鼠标 , 它 将 自动 启动 屏幕 保护 程 
序 ,直到 使 用 者 再 次 触摸 鼠标 的 指 尖 传感器 为 止 。 

(2) 指纹 手机 : 如 图 2-50 所 示 的 指纹 手机 的 机 身 前 面 及 后 面 都 装 有 -一个 跟 SIM 卡 大 
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(a) 指纹 IC 卡 识别 器 (b) 指纹 锁 (c) 指纹 保险 箱 
图 2-48 各 种 门禁 系统 


小 相仿 的 金属 片 指纹 感应 器 ,机 主 可 预先 输入 指纹 样本 。 手 机 可 和 凭 指纹 认证 ,进行 上 网 购 
物 、 收 发 电子 邮件 、 完 成 银行 转账 等 。 


图 2-49 指纹 鼠标 图 2-50 指纹 手机 


(3) 指纹 U 盘 : 采用 指纹 作为 加 密 密 钥 ,通过 与 预先 保存 的 指纹 进行 比较 来 确认 用 户 
的 身份 。 第 一 次 使 用 时 ,打开 指纹 登记 开关 (如 图 2-51(a) 所 示 ) ,然后 插入 USB 接口 ,等 指 
纹 指示 灯亮 起 后 ,将 手指 按 到 感应 器 上 即 可 进行 指纹 登记 (如 图 2-51(b) 所 示 ) 。 


-i 


打开 指纹 登记 开关 


(a) 打开 指纹 登记 开关 (b) 指纹 登记 


2-51 指纹 UU 盘 


第 2 章 密码 技术 58 


(4) 指纹 识别 汽车 : 采用 指纹 识别 技术 的 汽车 不 仅 门 锁 装置 不 再 需要 钥匙 ,同时 还 具 
有 根据 指纹 及 预 储 的 信息 ,自动 调整 汽车 驾驶 员 的 坐 椅 高 度 . 前 后 距离 ,各 个 反光 镜 位 置 及 
自动 接 通 车 载 电 话 等 功能 ,如 图 2-52 所 示 。 

4. 虹膜 识别 系统 

分 析 眼 睛 独特 特征 的 生物 识别 技术 主要 包括 
虹膜 识别 技术 ,视网膜 识别 技术 和 角膜 识别 技术 。 

虹膜 是 环绕 着 瞳孔 的 一 层 有 色 的 细胞 组 织 。 
每 一 个 虹膜 都 包含 一 个 独一无二 的 基于 像 冠 水 
晶体 、 细 丝 、 斑 点、 结构 、 凹 点 .射线 ,皱纹 和 条 纹 
等 特征 的 结构 。 虹 膜 扫描 安全 系统 包括 一 个 全 
自动 照相 机 来 寻找 眼睛 ,并 在 发 现 虹膜 时 开始 聚 
焦 , 捕 捉 到 虹膜 样本 后 ,由 软件 对 所 得 到 的 数据 图 2-52 指纹 识别 汽车 
与 储存 的 模板 进行 比较 。 

虹膜 识别 技术 是 现 有 生物 识别 手段 中 公认 的 最 为 精准 的 识别 方式 ,利用 该 技术 可 开发 
出 各 种 需要 身份 识别 的 系统 和 设备 ,如 虹膜 门禁 系统 .虹膜 考勤 系统 .虹膜 通关 系统 .虹膜 保 
管 箱 .虹膜 登录 系统 .虹膜 加 解密 系统 .虹膜 电子 签名 .虹膜 支付 系统 等 。 

如 图 2-53 所 示 的 智能 门禁 设备 JH-5200D 采用 了 先进 的 虹膜 识别 技术 。 该 虹膜 智能 
门禁 使 用 非常 方便 ,用 户 只 需 站 在 门禁 设备 前 ,注视 一 面 小 镜子 ,红外 摄像 机 就 可 以 自动 拍 
摄 到 用 户 的 虹膜 图 像 ,并 从 中 提取 出 所 对 应 的 虹膜 纹理 特征 编码 ,再 将 其 与 预先 注册 的 合法 
用 户 虹膜 纹理 特征 编码 匹配 ,如 果 两 个 编码 的 匹配 度 大 于 预 设 的 阔 值 ,那么 就 说 明 当前 用 户 
是 合法 用 户 .虹膜 门禁 将 驱动 电 锁 开启 ,否则 ,说 明 当前 用 户 是 非法 用 户 , 虹 膜 门禁 继续 保持 
电 锁 关闭 ,或 报警 。 该 虹膜 门禁 具有 以 下 特点 : 

(1) 具有 识别 极 高 的 精度 和 安全 性 ,几乎 不 会 出 现 错误 识别 ; 

(2) 虹膜 图 像 采 集 自动 触发 ,识别 只 需 1 一 2s, 使 用 方便 ,几乎 无 须 使 用 者 配合 ; 

(3) 红外 照明 符合 安全 标准 ,对 眼睛 无 任何 伤害 。 

如 图 2-54 所 示 的 自动 提 款 机 利用 了 先进 的 虹膜 生物 识别 技术 。 只 要 进入 工作 间 ,把 双 
脚 放 到 带 有 压力 传感器 的 脚 踏 板 上 ,让 系统 仔细 观察 自己 的 眼睛 。 一 旦 系统 发 现 虹膜 与 所 
存储 的 虹膜 相符 ,系统 就 开始 工作 。 


2-53 ”基于 虹膜 识别 技术 的 智能 门禁 设备 JH-5200D 图 2-54 基于 虹膜 识别 技术 的 自动 提 款 机 
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视网膜 是 眼睛 底部 的 血液 细胞 层 。 视 网 膜 扫描 采用 低 密度 的 红外 线 去 捕捉 视网膜 的 独 
特 特征 ,血液 细胞 的 唯一 模式 就 因此 被 捕 提 下 来 。 有 人 认为 视网膜 是 比 虹膜 更 唯一 的 生物 
特征 。 

视网膜 识别 的 优点 在 于 它 是 一 种 极其 固定 的 生物 
特征 ,因为 它 是 “隐藏 "的 ,所 以 不 可 能 受到 磨损 .老化 
等 影响 ; 使 用 者 也 无 须 和 设备 进行 直接 的 接触 ; 同时 
它 是 一 个 最 难 欺 骗 的 系统 ,因为 视网膜 是 不 可 见 的 ， 
故而 不 会 被 伪造 。 另 一 方面 ,视网膜 识别 也 有 一 些 不 
完善 的 地 方 ,如 视网膜 技术 可 能 会 给 使 用 者 带 来 健康 
的 损坏 ,这 需要 进一步 的 研究 ; 设备 投入 较为 昂贵 , 识 
别 过 程 要 求 也 高 。 

畅想 一 下 ,不 久 的 未 来 , 带 上 谷歌 眼镜 去 购物 , 视 网 
膜 识别 系统 自动 验证 ,网 络 购物 的 认证 非常 简单 ,如 
图 2-55 所 示 。 


图 2-55 ”谷歌 眼镜 十 视网膜 识别 


5. 手 形 识别 系统 

手 形 识别 技术 是 最 早 引入 商业 应 用 的 生物 识别 技术 。 几 乎 每 个 人 的 手 的 形状 都 是 不 同 
的 ,而 且 手 的 形状 在 人 达到 一 定年 龄 之 后 就 不 再 发 生 显著 变化 。 当 用 户 把 他 的 手 放 在 手 形 
读 取 器 上 时 ,一 个 手 的 三 维 图 像 就 被 捕捉 下 来 ,接着 就 对 手指 和 指 关节 的 形状 与 长 度 进行 测 
量 , 如 图 2-56 所 示 。 

手 形 识别 系统 采用 三 种 技术 ,第 一 种 是 扫描 整个 手 的 手 形 的 技术 ,第 二 种 是 仅 扫 描 
单个 手指 的 技术 ,第 三 种 是 结合 前 两 种 技术 的 扫描 食指 和 中 指 两 个 手指 的 技术 。 通 常 称 
扫描 整个 手 形 的 手 形 仪 为 掌 形 仪 ,如 图 2-57 所 示 , 扫 描 两 个 手指 的 手 形 仪 为 指 形 机 。 
1996 年 奥运 会 上 , 手 形 仪 在 奥运 村 使 用 ,接受 了 6 万 5 千 多 人 注册 ,处 理 了 一 百 多 万 次 进 
出 记录 。 


(a) 读 取 数据 (b) 测量 数据 
图 2-56 手 形 识别 系统 图 2-57 掌 形 仪 


6. 面部 识别 系统 

面部 识别 系统 把 要 找 的 人 的 面貌 先 扫描 并 储存 在 电脑 里 ,然后 通过 电脑 的 “眼睛 ”一 
摄像 机 ,在 流动 的 人 群 中 自动 寻找 并 分 析 影 像 ,从 而 辨认 出 那些 已 经 储存 在 电脑 中 的 人 ,如 
图 2-58 所 示 。 
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人 脸 建 模 人 脸 建 模 


人 脸 特征 值 


~、 


相似 度 4—— 
结果 输出 I 服务 器 | L 
模板 及 特 和 


存储 
特征 值 比 对 /自选 验证 1 ! 模 板 及 特征 值 更 新 | 
| 名 单 等 级 划分 1 


图 2-58 面部 识别 框图 


面部 识别 系统 是 通过 分 析 面 部 特征 的 唯一 形状 ,模式 和 位 置 来 辨识 人 的 ,其 采集 处 理 的 
方法 主要 有 标准 视频 和 热 成 像 技术 。 标 准 视频 技术 通过 一 个 标准 的 摄像 头 摄取 面部 的 图 


像 ,记录 一 些 核心 点 ,如 眼睛 ,鼻子 和 嘴 的 位 置 ,然后 形成 模板 ; 热 成 像 技 术 通 过 分 析 由 面部 


的 毛细 血管 血液 产生 的 热线 来 产生 面部 图 像 ,与 视频 摄像 头 不 同 , 热 成 像 技术 并 不 需要 在 较 
好 的 光源 条 件 下 ,即使 在 黑暗 情况 下 也 可 以 使 用 。 EPS 

2008 年 ,在 北京 奥运 会 及 残 奥 会 开 闭 幕 式 ,使 
用 了 人 脸 识别 技术 进行 实名 制 门票 查验 , 约 36 万 人 


次 经 过 了 人 脸 识别 系统 的 验证 后 进入 开 闭 幕 式 现 人 
场 ,这 是 人 脸 识别 技术 的 一 次 成 功 应 用 ,如 图 2-59 Aa A 
所 示 。 va = Ke 


局 


7. 语音 识别 系统 

语音 识别 主要 包括 了 两 个 方面 : 语言 和 声音 。 语 
言 识别 是 对 说 话 的 内 容 进行 识别 , 主要 用 于 信息 输 
入 ,数据库 检索 .远程 控制 等 方面 ; 在 身份 识别 方面 更 
多 地 采用 声音 识别 。 

声音 识别 与 语言 识别 的 不 同 之 处 在 于 : 它 不 对 说 
出 的 词语 本 身 进 行 辩 识 ,而 是 通过 分 析 语音 的 唯一 特 
性 ,例如 发 音 的 频率 ,来 识别 说 话 的 人 ,如 图 2-60 图 2.59 人 脸 识 别 门禁 系统 
所 示 。 

声音 识别 技术 使 人 们 可 以 通过 说 话 的 嗓音 来 控制 能 否 出 入 限制 性 的 区 域 ,例如 通过 电 
话 拔 入 银行 ,数据 库 服务 .购物 或 语音 邮件 ,以 及 进入 保密 的 装置 等 。 如 图 2-61 所 示 的 USB 
声 纹 加 密 锁 在 插入 电脑 USB 接口 后 ,只 需 用 户口 述 命令 ,就 能 马上 验 明 用 户 身份 ,让 合法 用 
户 顺利 进入 而 拒绝 非法 用 户 的 使 用 ,从 而 免 去 了 用 户 记忆 一 大 串 密码 的 烦恼 。 


RTS XN 
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识别 结果 


图 2-60 声音 识别 框图 


图 2-61 USB 声 纹 加 密 锁 


2.4 文件 加 密 与 破解 


计算 机 上 存放 的 重要 信息 需要 保密 ,为 保护 这 些 文件 ,一 般 情况 下 可 以 为 计算 机 设置 密 
码 , 但 这 并 不 能 完全 保证 信息 的 安全 ,因为 攻击 者 可 以 通过 网 络 窃取 资料 ,甚至 可 以 偷 走 硬 
盘 来 获取 其 中 的 数据 。 一 种 更 安全 的 方法 是 对 文件 进行 加 密 , 需 要 时 再 对 其 解密 。 这 样 , 即 
使 攻击 者 偷 走 了 文件 ,也 无 法 获取 有 用 信息 。 

随 着 密码 应 用 范围 的 增加 ,遗忘 密码 的 情况 也 屡见不鲜 。 如 何 破解 这 些 密码 , 尽 可 能 减 
少 损 失 , 也 是 人 们 所 关注 的 。 

密码 的 破解 通常 是 利用 软件 快速 尝试 大 量 密码 来 实现 的 ,具体 的 方法 有 字典 法 和 暴力 
破解 法 两 种 。 字 典 法 利用 一 些 经 常 被 用 户 当 作 密码 的 词 逐一 尝试 ,暴力 破解 法 就 是 穷 举 破 
解 ,将 所 有 可 能 的 密码 逐一 尝试 。 破 解密 码 时 ,密码 字典 是 首选 方法 ,如 果实 在 不 行 才 使 用 
暴力 破解 法 。 

密码 字典 是 一 个 简单 的 文本 文件 ,其 中 列 出 了 各 种 各 样 的 用 户 名 和 密码 ,这些 用 户 名 和 
密码 是 黑客 高 手 长 期 经 验 的 积累 ,是 揣摩 各 种 人 设置 账号 和 密码 的 心理 和 习惯 后 编制 出 来 
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的 ,破解 程序 读 取 这 些 密 码 并 逐一 用 于 密码 破解 ,一 个 好 的 密码 字典 可 以 轻松 攻破 精心 设置 
的 密码 。 通 常 只 有 遇 到 安全 意识 非常 强 的 用 户 设置 的 密码 时 , 才 需 要 使 用 暴力 破解 ,一 般 使 
用 字典 破解 就 可 以 解决 大 多 数 问题 。 

针对 不 同 加 密 方 法 的 文件 有 不 同 的 解密 手段 ,如 专门 破解 Office 文件 密码 的 工具 等 。 
密码 破解 要 经 历 尝 试 .失败 .再 尝试 反 反复 复 的 过 程 。 


2.4.1 压缩 文件 的 加 密 与 破解 


一 般 情况 下 ,为 节省 空间 ,在 备份 文件 时 ,通常 会 将 文件 压缩 成 ZIP、RAR 等 格式 保存 。 
为 了 防止 非法 用 户 窃取 该 文件 ,有 时 需要 对 重要 文件 的 压缩 备份 进行 加 密 保 护 。 

1. RAR 文件 的 加 密 

RAR 是 使 用 最 为 普遍 的 压缩 文件 格式 ,WinRAR 压缩 软件 可 以 在 将 文件 压缩 的 同时 ， 
为 压缩 包 加 上 密码 ,这 样 就 可 以 达到 压缩 与 保密 一 举 两 得 的 作用 。 

【 例 2-3〗】 用 WinRAR 压缩 文件 并 加 密 。 

(1) 选中 要 压缩 的 文件 , 单 击 鼠标 右键 ,在 弹出 的 快捷 菜单 中 选择 “添加 到 压缩 文件 ” 选 
项 ,出 现 如 图 2-62 所 示 的 “压缩 文件 名 和 参数 ”对 话 框 。 

(2) 打开 “高 级 ”选项 卡 ,如 图 2-63 所 示 。 


涝 压 秆 文件 名 和 委 数 涝 压 纺 文件 名 和 地 数 


第 规 [高 级 | 选项 | 文件 | 备份 [时间 | 注释 | 


压缩 文 件 各 Q) 


常规 | 高 朗 | 选项 文件 | 备份 [时 间 | 注释 | 


NTFS 选项 包揽 记录 双 ) 
口 保存 文件 安全 数据 GE) Cl 
口 保存 文件 流 数据 T) 


更 新 方式 0D) 

[ET | 添加 并 葵 换 文件 
压缩 文件 格式 压 编选 项 
OME 口 压 次 后 蜗 除 源 文 件 L) 
Or 口 他 洼 自 解压 格式 压缩 文件 &) 
口 创建 固 实 压缩 文件 GE) 
压缩 方式 C) 口 添加 用 户 身份 校 验 信息 CD) 
标准 加 。 口 添 加 恢复 记录 @) 


分 着 
每 个 分 卷 操作 完 之 后 暂停 让 一 一 号 


旧 风 格 分 卷 名 (LL) 自 解 讨 选 项 &X) 
[0 汉 个 焦 复 郑 设置 密码 下) 


系统 

口 后 台 压 缩 吧 ) 

口 完成 操作 后 关闭 计算 机 电源 下) 
口 如 果 其 它 WinRAR 副本 被 激活 则 等 待 岂 ) 


压 颖 分 基 大 他 节 QD 口 测 弃 压 御 文 件 E) 
司 。 口 铅 定 压 弦 文 件 四 


CJ Cw 


C 纪 


图 2-62 “压缩 文件 名 和 参数 "对 话 框 图 2-63 “高 级 ”选项 卡 


(3) 单 击 “ 设 置 密码 ”按钮 ,出 现 如 图 2-64 所 示 的 密码 
对 话 框 ,在 其 中 输入 密码 , 单 击 “ 确 定 ” 按 钮 ,返回 图 2-63。 
(4) 单 击 图 2-63 中 的 “确定 ”按钮 ,完成 带 密码 的 文 A 
件 压缩 名 再 次 输入 密码 以 确认 他) 
2. RAR 加 密 文件 的 破解 = 一 
破解 工具 ARPR(Advanced RAR Password Recovery) Pe 
用 于 破解 RAR 文件 的 密码 。 可 以 使 用 穷 举 攻击 的 方法 ， = 
即 穷 举 所 有 可 能 的 字符 组 合 ,来 猜测 密码 的 攻击 方式 进 
行 破解 ; 也 可 以 采用 字典 攻击 的 方法 ,即使 用 常用 的 单 图 2-64 密码 输入 
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词 ,来 猜测 密码 的 攻击 方式 实现 破解 。 
【 例 2-4】 用 ARPR 破解 RAR 文件 密码 。 
(1) 运行 ARPR 破解 工具 ,出 现 如 图 2-65 所 示 的 程序 界面 。 


长 度 | 字典 | 自动 保存 | 选项 | 高 级 
国 寺 项 


多 3 1@...) 
所 有 可 打印 的 


状态 窗口 
009-8-2 13:41:30 - ARPR version 1.53 build 12 已 局 动 


[ARPR version 1.53 (ec) 2000-2005 ElconSoft Co Ltd 


图 2-65 ARPR 程序 界面 


(2) 单 击 左 上 角 “ 已 加 密 的 RAR 文件 "文本 框 右 侧 的 打开 按钮 ,在 弹出 的 打开 文件 对 话 
框 中 选择 要 破解 的 RAR 文件 。 

(3) 单 击 右 上 角 的 “破解 类 型 "下 拉 列 表 框 ,选择 “字典 破解 ”攻击 模式 。 

(4) 单 击 中 间 的 “字典 ”选项 ,在 图 2-66 中 选择 字典 文件 ,在 “开始 行 并 ”中 选择 从 0 行 
开始 。 


dvanced RAR Password Recouery 
加 坊 SO 0 On 


仿 上 基准 帮助 关于 退出 
三 解 基 型 
|E:\Documents and Settings\sh | 项 ” | 字典 破解 
范围 长度] 字 奥 | 自动 保存 | 选项 _] 高 级 
字 奥 选项 
字典 文件 路 径 : 
[C: \hocunents and Settings\shiep\My Docund| 其 - 开始 行 # |o 
口 灵活 转变 
口 差 试 所 有 可 能 的 大 小 写 组 合 
口 转换 为 0 到 编码 
状态 窗口 
2009-6-2 13:41:30 - ARPR version 1.53 build 12 已 启动 


当前 密码 ; 


0% 
RPR version 1.53 (c) 2000-2005 ElconSoft Co .Ltd 


图 2-66 使 用 字典 攻击 模式 
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(5) 单 击 工具 栏 中 的 “开始 1” 按 钮 开始 破解 。 破 解 完 毕 后 ,出 现 如 图 2-67 所 示 的 对 话 
框 ,提示 破解 的 结果 。 


图 2-67 破解 结果 


3. RAR 文件 的 防 破解 

现在 ,针对 WinRAR 密码 的 破解 软件 层出不穷 ,即使 密码 设置 得 很 长 .很 复杂 ,也 难免 
成 为 某 些 暴力 破解 软件 的 猎物 ,可 以 通过 下 面 的 方法 防止 RAR 密码 被 轻松 破解 。 

【 例 2-5】 采用 中 文 密码 防止 破解 。 

(1) 压缩 文件 ,出现 输入 密码 对 话 框 。 

(2) 由 于 在 文本 框 中 无 法 直接 输入 中 文 ,可 以 打开 任何 文本 处 理 软件 ,输入 中 文 密码 并 
复制 ,然后 粘贴 到 “输入 密码 ”文本 框 中 ,完成 中 文 密码 对 RAR 文件 的 保护 。 

(3) 要 解压 或 查看 使 用 中 文 密码 加 密 的 文件 ,同样 双击 该 压缩 文件 ,从 其 他 文本 输入 窗 
口中 输入 中 文 密码 ,然后 将 其 拷贝 到 “输入 密码 ”文本 框 中 , 即 可 正常 使 用 。 

(4) 由 于 在 操作 时 使 用 明文 方式 输入 密码 ,所 以 不 适宜 在 公众 场合 现场 使 用 ,否则 中 文 


密码 极 易 被 人 窃取 。 
【 例 2-6】 采用 对 多 个 文件 设置 不 同 密码 防止 明 yi 

破解 。 : est ee : WinRAR (评估 .. [- | 口 | 区 |] 
(1) 将 某 个 文件 按照 正常 步骤 压缩 ,并 设置 密码 。 |: 人 
(2) 在 WinRAR 操作 界面 中 ,打开 刚才 已 经 压缩 上 和 

完成 的 加 密 文件 ,执行 命令 *|* 添 加 文件 到 压缩 文件 | 二 有 于 关中 

中 ”命令 ,如 图 2-68 所 示 。 人 ee 
(3) 接着 在 “请 选择 要 添加 文件 ”对 话 框 中 选择 其 无 须 确 认 直 接 解压 缩 四 全 tt 

他 文件 , 单 击 “确定 ”按钮 ,返回 “压缩 文件 名 字 和 参 et 全 全 

数 ?对话 框 。 在 “高 级 ”选项 卡 中 设置 一 个 不 同 的 密 此 RE 

码 , 完 成 压缩 。 


(4) 重复 多 次 ,将 多 个 文件 压缩 ,每 个 文件 使 用 不 ”图 2-68 添加 其 他 文件 到 压缩 文件 中 
同 的 密码 ,这 样 就 不 会 被 轻易 地 破解 了 。 


2.4.2 Office 文件 的 加 密 与 破解 


在 处 理 Microsoft 公司 的 Office 系列 文档 时 ,由 于 公司 或 个 人 隐私 的 需要 ,经 常 要 
对 Office 文档 进行 加 密 保 护 , 保 护 的 方法 可 以 通过 Office 软件 包 自 带 的 安全 保护 功能 
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1. Office 文件 的 加 密 

下 面 以 Word 2013 为 例 说 明 Office 文件 的 加 密 过 程 ,其 他 Office 文件 的 加 密 方法 
类 似 。 

【 例 2-7】 加 密 Word 文件 。 

(1) 打开 Word 文件 , 单 击 “ 文 件 ” 菜 单 , 找 到 “保护 文档 ”, 如 图 2-69 所 示 。 


图 2-69 “保护 文档 ”页面 


(2) 单 击 如 图 2-70 所 示 的 “用 密码 进行 加 密 ”, 出现“ 加 密 文档 "对话 框 ,如 图 2-71 所 示 。 
保护 文档 


控制 其 他 人 可 以 对 此 文 栏 


用 密码 进行 加 密 ( 昌 各 各 果 天 入 ， 则 无 法 格 其 恢复 .。 建 
用 密码 保护 此 文档 


L_ 斋 控制 其 他 人 可 以 做 的 更 改 类 型 [Cw | wm 


图 2-70 “用 密码 进行 加 密 ”" 页 面 图 2-71 “加 密 文档 "对 话 框 


(请 a 住 ,密码 是 区 分 大 小 写 的 。) 


门限 制 编辑 (D) 


(3) 输入 密码 , 单 击 “ 确 定 ” 按 钮 。 

2. Office 加 密 文件 的 破解 

Office 文件 破解 工具 非常 多 ,基本 分 为 两 大 类 。 一 类 是 类 似 RAR 文件 的 破解 工具 ,将 
密码 破解 ; 另 一 类 是 将 Office 文件 密码 移 除 ,新 建 一 个 没有 密码 且 与 原文 件 内 容 相 同 的 文 
件 。 它 们 的 典型 代表 分 别 是 Advanced Office Password Recovery 和 Office Password 


Recovery Toolbox。 
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【 例 2-8〗 使 用 Advanced Office Password Recovery 破解 Office 文件 密码 。 
(1) 运行 Advanced Office Password Recovery, 界 面 如 图 2-72 所 示 。 


回国 四 


Advanced Office Password Recovery Professional Edition - 无 标题 


能 


打开 文件 ,,， M5 通行 证 。 M5 Outook ”Internet CA “VBA 后门 开始 


人 恢复 | 暴力 字典 | 选项 | 基准 ‖ 系统 信息 」 密码 经 存 | 


针对 强加 窗 文 档 的 破解 类 型 
〇 暴力 破解 ( 尝试 所 有 可 能 的 姐 合 ) 

加 掩 码 式 景 力克 解 《 若 已 获知 部 分 密码 符号 ) 
回 字 典 确 解 ( 推荐 ) 


文件 名 称 : 


日 志 窗口 
日 期 , 时 间 事件 
CY 2009-8-7 21:03:32 AOPR 4.03 Professional Edition 已 加 载 
(WY 2009-8-7 21:03;32 此 操作 系统 版 本 ; Windows NT/2000/xP 版 本 号 5,1 创 隘 号 2600 Service Pack 2 


Advanced Dffice Password Recovery Professional Edition 版 本 4 03 Copyright ?1999-2008 FlconSoft Co Lt 


图 2-72 Advanced Office Password Recovery 程序 界面 


(2) 打开 要 破解 的 Office 文件 ,出 现 如 图 2-73 所 示 的 “预备 破解 ”对 话 框 。 
(3) 破解 成 功 后 出 现 如 图 2-74 所 示 的 对 话 框 。 


Word 密码 已 被 恢复 
Word 文件 打开 密码 : 
Word 写 保护 密码 : 
Word 文档 保护 密码 ; 
Word VBA 密码 ; 
文件 路 径 : 
(C:\Documents and Settingstshiep\My Documentsttest,doc 


选 定 文件 的 所 有 密码 均 已 成 功 侈 复 或 被 更 改 ? 


正在 执行 预备 破解 … 


1, 正在 检查 已 找到 的 密码 已 完成 
2. 正在 检查 密码 缓存 ..， 已 完成 
3, 默认 字典 破解 .… 已 完成 
4, 暴力 破解 正在 运行 … 


AOPR 正在 内 试 恢复 划 折 时 无 法 针 找 到 的 密码 ,请 梢 候 ， 这 rp 
将 持续 若干 分 钟 . 二 再 VBA 覃 码 


图 2-73 “预备 破解 "对话 框 图 2-74 破解 成 功 


【 例 2-9】〗】 使 用 Office Password Recovery Toolbox 移 除 Office 文件 密码 。 
(1) 运行 Office Password Recovery Toolbox, 界 面 如 图 2-75 所 示 。 
(2) 打开 要 移 除 密码 的 Office 文件 ,如 test. doc 文件 ,软件 判断 文件 的 密码 类 型 ,出 现 


如 图 2-76 所 示 的 窗口 。 
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文件 帮助 
文件 名 


圆 cocomsnts and Settings\shiep\lly Docunents\ 国 


Yord 文档 密码 
< 
“ 写 入 " 密码 : 人 
“保护 ”密码 > 
VYBA 工程 密码 : > 


就 绪 


图 2-75 ”Office Password Recovery Toolbox 界面 2-76 判断 密码 类 型 


(3) 单 击 “ 移 除 密码 ”按钮 ,出现 如 图 2-77 所 示 的 “信息 ”对 话 框 。 
(4) 连接 到 Internet, 单 击 “ 确 定 ” 按 钮 ,完成 密码 移 除 ,如 图 2-78 所 示 ,在 原文 件 所 在 目 
录 产 生 移 除 密码 后 的 test _Fixed. doc 文件 ,内 容 与 原文 件 test. doc 完全 相同 。 


a Office Password Recovery Toolbox [区 | 


ernets 
已 该 文档 已 经 该 成 功 解密 9 


图 2-77 “信息 ”对 话 框 图 2-78 成 功 移 除 密码 


2.4.3 ”其 他 文件 的 加 密 与 破解 


对 于 RAR、Office、PDF 等 常见 文件 ,虽然 都 有 相应 的 加 密 方 法 ,但 也 有 针对 性 的 破解 
工具 ,安全 性 都 不 太 高 。 可 以 采用 一 些 通 用 的 加 密 方法 ,以 提高 安全 性 。 

1. PDF 文件 的 加 密 与 破解 

Adobe 公司 的 PDF 文件 是 一 种 通用 文件 格式 ,为 防止 机 密 文件 被 编辑 、 打 印 或 选择 文 
本 图形 的 复制 ,可 以 使 用 Adobe Acrobat 或 EncryptPDF 软件 对 PDF 文件 进行 加 密 , 以 提 
高 文档 的 安全 性 。 

【 例 2-10〗 使 用 Adobe Acrobat 对 PDF 文件 加 密 。 

(1) 运行 Adobe Acrobat 软件 ,打开 PDF 文件 。 

(2) 单 击 “ 文 件 ”" 菜 单 的 “文档 属性 ”命令 ,出 现 如 图 2-79 所 示 的 “文档 属性 ”对 话 框 , 选 
择 其 中 的 “安全 性 ”选项 。 

(3) 单 击 “ 安 全 性 方法 ”的 下 拉 按 钮 ,选择 “口令 安全 性 ”, 出 现 如 图 2-80 所 示 的 “口令 安 
全 性 一 设置 "对话 框 。 

(4) 单 击 “ 要 求 打开 文 档 的 口令 ” 复 选 框 ,在 “文档 打开 口令 "文本 框 中 输入 密码 , 单 击 
“确定 ”按钮 ,出 现 如 图 2-81 所 示 的 “确认 文档 打开 口令 ”对 话 框 。 
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文档 的 "安全 性 方法 ' 用 于 限制 对 文档 所 执行 的 操作 。 要 删除 安全 性 限制 ， 请 设置 "安全 
性 方法 为 无 安全 性 设置 “ 


安全 性 方法 (M) :| 无 安全 性 设置 
可 用 来 打开 的 程序 : ”所 有 版 本 的 Acrobat 


文档 限制 小 结 
打印 : 
更 改 文档 : 
文档 组 合 : 
内 容 复制 或 提取 : 
提取 内 容 用 于 铺 助 工具 : 
注释 : 
填写 表单 域 : 
签名 : 
包 娃 模板 页 面 : 


图 2-79 “文档 属性 ”对 话 框 


莱 容 性 (MD) : 
加 密 鼎 别 ; 高 ( 128-bt RC4) 
要 求 打开 文档 的 口令 (R) 


文档 打开 口令 (D) : 
六 当 设置 时 ， 要 求 本 口 邻 方 可 打开 文档 。 
许可 
口 使 用 口令 来 限制 文档 的 打印 和 编辑 以 及 它 的 安全 性 设置 (U) 


许可 口令 ) : | 


2-80 “口令 安全 性 一 设置 ”对 话 框 


(5) 再 次 输入 密码 , 单 击 “ 确 定 ” 按 钮 ,完成 PDF 文件 的 加 密 。 

PDF 文件 的 破解 软件 与 Office 文件 的 破解 软件 大 同 小 异 , 其 典型 代表 为 Advanced 
PDF Password Recovery 和 PDF Password Remover, 它 们 的 界面 分 别 如 图 2-82 和 图 2-83 
所 示 。 
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Adobe Acrobat 一 确认 文档 打开 口令 


I A 并 请 记录 下 本 口令 。 要 求 它 方 可 打开 文 


文档 打开 D 令 DO: | 一 二 | 
[ 确定 ] 取消 


图 2-81 “确认 文档 打开 口令 "对话 框 


APDFPR 4.0 Professional Edition 
文件 下) 恢复 久 帮助 如 

ae 

念 . 克 各 

打开 ”开始 ! 

已 加 密 的 PDF 文件 


范围 长度 | 字典 | 密 钥 搜索 | 自动 保存 | 选项 | 高 级 | 
暴 兢 范 围 选 项 
回 所 有 大 写字 母 A -2 起 始 密码 ; 
加 
加 


所 有 小 写字 母 3 -可 
所 有 数字 人 -9 结束 密码 ; 
所 有 特殊 符号 I@..] 撞 码 : 


| 日 六 
所 有 印刷 字符 用 户 自 定义 口 


状态 窗口 
12009-8-9 7:58:40 - APDFPR 4.00 build 125 狐 狸 少爷 汉化 版 已 加 载 


当前 密码 : 平均 速度 : 
送 去 时 间 : 剩余 时 间 : 


0 
APDFPR version 4.00 [cl] 2001-2007 Elcom5oft CoLtd 


2-82 Advanced PDF Password Recovery 


PDF Password Reaover v2.2 


区 


打开 PDF 文件 


2-83 PDF Password Remover 
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2. 通用 文件 加 密 系统 

对 于 各 种 类 型 的 文件 ,还 可 以 采用 通用 文件 加 密 系统 进行 加 密 。 通 用 文件 加 密 系统 并 
不 是 专门 针对 某 种 特定 类 型 的 文件 , 它 适用 于 各 种 类 型 的 文件 ,是 最 常用 的 文件 加 密 方式 。 
常见 的 通用 文件 加 密 软件 有 Easycode Boy Plus!、BlackBox、 加 密 精 灵 等 。 一 般 而 言 ,它们 
有 以 下 几 个 共同 特点 : 

(1) 采用 快速 的 分 组 对 称 算法 。 

(2) 在 密 文 文件 中 插入 校 验 码 以 保证 文件 内 容 不 被 算 改 。 

(3) 使 用 某 个 工具 加 密 的 文件 一 般 只 能 用 该 工具 解密 。 

(4) 除了 加 密 /解密 外 还 提供 一 些 其 他 的 附带 功能 ,如 文件 插入 ,分割 等 。 

【 例 2-11】 使 用 通用 加 密 软 件 Easycode 加 密 、 解 密 任意 文件 。 

(1) 运行 Easycode 软件 ,在 程序 界面 中 单 击 “ 添 加 文件 ”按钮 ,选择 要 加 密 的 文件 ,如 
test. txt; 在 底部 的 密码 文本 框 中 输入 密码 ,如 图 2-84 所 示 。 


pe Dh 县 二 昌 
Ea 让 开元 和 久 次 呈 帮 
j 2 个 文件 
[ 
DD:\teacher \HEIN\ 信 息 对 抗 与 网 络 安全 \ 软 件 \ch2\test. txt 添加 文件 
批量 添加 文件 
移出 文件 
清空 列表 
= Sw 
请 输入 密码 ; *#t# 请 确认 密码 : ret 移 
提示 : 请 注意 密码 区 分 大 小 写 * 而 且 空格 也 可 成 为 密码 的 一 部 分 ? 开始 加 密 
口 启用 快速 加 密 口 加密 文件 名 口 加 密 前 先 备份 名 产生 随机 密码 


图 2-84 ”加密 文件 


(2) 单 击 “开始 加 密 ” 按 钮 ,出 现 加 密 成 功 对 话 框 , 如 图 2-85 所 示 。 
(3) 双击 test. txt 文件 ,出 现 乱码 ,如 图 2-86 所 示 ,说 明 加 密 成 功 。 


站 test.txt - 记事 


文件 操作 成 功 完 成 9 


本 次 操作 文件 数 : 1 
(tattmipint: oo00.00.1s 
本 次 哲 作 的 密码 :。 test 


( 请 牢记 密码 ,密码 作坊 无 法 恢复 ) 


oe 上 TV 语 [ 
回 一 未 污 码 Ug 
口 以 后 不 再 提示 EL f 敌 b” 全 加 


图 2-85 加密 成 功 对 话 框 图 2-86 ”加密 后 的 文件 


(4) 单 击 "解密 ?选项 ,在 如 图 2-87 所 示 的 对 话 框 中 添加 被 加 密 的 文件 ,输入 密码 , 单 击 
“开始 解密 ”按钮 。 
(5) 解密 成 功 后 ,打开 test. txt 文件 ,能 够 正常 查看 该 文件 内 容 。 
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受 5 田 


JD; \teacher\HEIN\ 信 息 对 抗 与 网 络 安全 \ 软 件 \ch2\test. txt 添加 文件 


请 输入 密码 : jpeee | 鳃 不 记 密码 i 历史 记录 > 9 
i 区， 


图 2-87 解密 文件 
【 例 2-12】〗 使 用 通用 加 密 软 件 Easycode 生成 自 解密 文件 。 
(1) 运行 Easycode 软件 , 单 击 “编译 EXE” 选 项 , 单 击 “ 浏 览 ” 按 钮 ,选择 要 编译 的 文件 
test. txt, 在 密码 框 中 输入 密码 ,如 图 2-88 所 示 。 


及 5 有 目 
SE 颁 和 深 杰 办 决 有 变 


|D: \teacher\HEIN\ 信 息 对 抗 与 网 络 安全 \ 软 件 \ch2\test_ txt 芝 浏 览 
编译 后 文件 名 : 
D:\teacher\EIN\ 信 息 对 抗 与 网 络 安全 \ 软 件 \ehz\test exe 兴 去 除 保护 


口 编译 文件 后 格 ZXE 文 件 分 割 为 : |1 铀 图 大 小 的 多 个 文件 


请 输入 密码 : t+ 确认 : pet 妇 产生 随机 密码 


密码 提示 : 无 可 用 提示 、 

自 解密 文件 支持 命令 行 哲 作 方式 ， pat 说 明 

地: 计 旬 训 上 在 回扣 后 和 保护 过 程 速度 会 比 开始 编译 /加 密 
苏 结 安装 程 厅 或 是 目 

sd 


图 2-88 编译 EXE 


(2) 单 击 “ 开 始 编译 /加 密 ” 按 钮 ,生成 test. exe 文件 (test. txt 文件 自动 消失 ) 。 
(3) 双击 test. exe 文件 ,出 现 如 图 2-89 所 示 的 对 话 框 。 


ECBoy EXE 自 解 室 文件 
Easyeode Boy Plus? 
请 输入 密码 : | 
密码 提示 : [元 可 用 提示 


口角 灾后 昌 除 自 解 宇文 件 四 
口 解 宅 后 自动 打开 沽 文件 四) 


VY 而 定 四 vO 


图 2-89 “ 自 解密 文件 "对话 框 
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YY 自 解密 完成 请 查看 当前 目录 下 同名 文件 4 


图 2-90 “解密 完成 ”对话 框 
(5) 在 当前 目录 下 test. txt 文件 重新 出 现 , 并 可 正常 浏览 。 
2.4.4 文件 夹 加 密 


在 Windows 平 台 下 ,文件 夹 加 密 的 方式 归纳 起 来 有 两 种 : 一 种 是 简单 地 对 文件 夹 进 行 
各 种 方式 的 隐藏 ,甚至 利用 Windows 的 漏洞 进行 隐藏 ,这 种 软件 根本 就 没有 对 数据 进行 任 
何 加 密 处 理 , 加 密 效 果 极 其 脆弱 ; 另 一 种 是 利用 Windows 内 核 的 文件 操作 监控 来 对 文件 和 
文件 夹 进行 安全 保护 ,这 是 目前 最 优秀 、 最 安全 的 加 密 方式 ,代表 软件 是 美国 的 PGP 加 密 
软件 。 

PGP 是 Pretty Good Privacy 的 英文 缩写 ,主要 开发 者 菲利普 ， 齐 默 曼 (Philip R. 
Zimmermann) 在 志愿 者 的 帮助 下 突破 美国 政府 的 禁止 令 , 于 1991 年 将 PGP 在 互联 网 上 免 
费 发 布 。 

它 是 一 套用 于 消息 加 密 、 验 证 的 应 用 程序 ,其 加 密 / 验 证 机 制 采 用 名 为 IDEA 算法 的 散 
列 算 法 ,由 一 系列 散 列 .数据 压缩 、 对 称 密 钥 加 密 、 以 及 公 钥 加 密 的 算法 组 合 而 成 。 每 个 步骤 
支持 几 种 算法 ,可 以 选择 一 个 使 用 。 每 个 公 钥 均 绑 定 唯一 的 用 户 名 和 /或 者 E-mail 地 址 。 

【 例 2-13】 使 用 PGP Desktop 加 密 文件 夹 。 

(1) 第 一 次 运行 PGP Desktop ,出 现 *PGP 设置 助手 ”, 如 图 2-91 所 示 。 


PG6P 设置 助手 


启用 Pep 


faTe 
SP Desktop 加 果 引 不 打算 从 此 账户 合用 PeP ， 便 流 必 要 完成 也 置身 导 。 扣 果 您 以 后 改变 主意 ,只 
ep Desktop 罗 用 入 序 - 


您 想 要 从 此 账户 局 用 PGP 以 让 其 可 用 ? 


OR 
OO 


© EE-Sw 取消 帮助 


2-91 PGP 设置 助手 
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(2) 一 路 单 击 “下 一 步 ? 按 钮 ,填写 相应 内 容 , 直 到 出 现 如 图 2-92 所 示 的 “输入 许可 证 ” 
界面 。 
了 PGP 设置 助手 


站 许可 助手 : 输入 许可 证 
Desktop 


输入 您 购买 后 接收 到 I 的 许可 证 或 在 下 面 更 新 。 加 果 您 没有 一 个 许可 证 号 ， 悠 可 
以 现在 购买 ,请求 一 个 一 次 性 评估 或 使 用 产品 但 茜 用 多 数 功能 。 悠 也 可 以 选择 
此 选项 在 今后 输入 一 个 许可 证 号 。 


名 请 求 一 个 PGp Desktop 一 次 性 30 天 评估 
〇 立即 一 个 购买 许可 证 
不 全 用 许可 证 并 某 用 多 数 功 能 


[Ty uA | 


图 2-92 输入 许可 证 
(3) 选择 “不 使 用 许可 证 并 禁用 多 数 功 能 " 单 选项 , 单 击 下 一 步 ” 按 钮 ,安装 的 PGP 
Desktop 只 能 实现 对 文件 和 文件 夹 的 加 密 , 如 图 2-93 所 示 。 
PG6P 设置 助手 


许可 


PGP 
Desktop 没有 指定 许可 证 。 大 部 分 功能 已 被 禁用 


2-93 ”只 有 加 密 文件 和 文件 夹 功 能 


(4) 单 击 “下 一 步 ? 按 钮 ,在 如 图 2-94 所 示 的 “用 户 类 型 "中 选择 “我 是 一 个 新 用 户 ” 
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PGP 设置 助手 


° .sr Desktop 


〇 我 先前 使 用 过 PGP 并 且 我 已 经 有 密 钥 (E)。 


图 2-94 ”选择 “用 户 类 型 ” 
(5) 一 路 单 击 “ 下 一 步 ” 按 钮 ,填写 相关 内 容 , 直 到 出 现 如 图 2-95 所 示 的 “创建 密码 ” 
界面 。 
PG6P 设置 助手 
创建 密码 


PIG P 
Desktop 您 的 私 钥 格 受 密码 保护 。 保 持 您 密码 的 机 密 性 ,不 把 地 写 下 来 是 很 重要 的 。 


悠 的 密码 至 少 应 该 有 8 位 宇 符 长 度 ， 并 包含 数字 和 字母 。 


[CE=- 步 gj 区- 区 四 习 [ 了 省 ] 


图 2-95 创建 密码 
(6) 输入 密码 ,一 路 单 击 “下 一 步 ? 按 钮 ,直到 出 现 如 图 2-96 所 示 的 “恭喜 ”界面 。 单 击 
“完成 ”按钮 ,完成 PGP 设置 。 
(7) 运行 PGP Desktop; 出 现 如 图 2-97 所 示 的 界面 。 
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通过 拖 放 项 目 到 修 梨 面 上 PGP 粉 碎 器 图 标的 位 置 即 可 擦 除 敏感 文件 


图 2-96 ”完成 设置 


由 PEP Desktop - 全 部 密 铀 
文 作 ( 因 。 妨 旨 (到 查看 (工具 (D) 赣 鲍 (0 天助 ( 轩 
全 有 per 名 昌 ” 允 蓄 到 Perp 压 多 外 名 粉 呈 文 件 以、 扫 索 窑 诅 ”过 同上 要 钥 


邮件 
heinheQ126. com 


邮寄 此 密 钥 
PGP 消息 


二 | PEP 故 第 包 


B, P6P 朽 盘 
回 PGP 网 络 共享 


PGP Desktop 运行 界面 
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(8) 单 击 左 侧 的 “PGP 压缩 包 ”|* 新 建 PGP 压缩 包 ? 选 项 ,出 现 *PGP 压缩 包 助 手 ” 界 
面 ,如 图 2-98 所 示 。 


PG6P 压 第 包 助 手 


° sr Desktop 


这 个 助手 格 会 帮助 您 保护 文件 和 文件 来 以 用 于 存储 或 转移 。 抢 放 您 的 文件 到 此 方 框 
内 ， 或 使 用 如 下 的 按钮 浏览 到 黎 的 选择 。 


名 称 大 小 类 型 
拖 放 文 件 到 此 处 


2-98 ”PGP 压缩 包 助手 


(9) 单 击 左 下 角 的 “添加 目录 ”或 “添加 文件 ”按钮 ,添加 想 要 加 密 的 文件 或 文件 夹 ,如 图 
2-99 所 示 。 


P6P 压 短 包 助手 


Pen Desktop ,是 新 建 pGp 压 绾 包 
这 个 助手 将 会 共 助 您 保护 文件 和 文件 夹 以 用 于 存储 或 转移 。 拖 放 悠 的 六 件 到 此 方 框 
内 ,或 使 用 如 下 的 按钮 浏览 到 你 的 选择 。 


名 称 
SB test 
国 Docl. doc 89.5 到 有 icerosoft Word 文档 


在 完成 时 发 送 原始 文件 到 pGP 粉 碎 器 口 ] 


上 - 步 ®|F= 步 WD 取消 帮助 


图 2-99 添加 文件 或 文件 夹 
(10) 单 击 * 下 一 步 ”, 选 择 加 密 的 方式 ,如 图 2-100 所 示 。 


(11) 一 般 选 择 第 三 种 加 密 方式 “PGP 自 解密 文档 ”, 在 其 他 没有 安装 PGP Desktop 的 
计算 机 中 也 可 以 打开 。 单 击 “ 下 一 步 ” 按 钮 ,在 如 图 2-101 所 示 的 界面 中 输入 密码 。 
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了 PGP 压 移 包 助手 


Per Desktop 加密 


选择 您 想 要 怎样 为 您 的 接收 和 人 加密。 如 果 您 对 特殊 选项 觉得 没有 把 握 , 单 击 查看 下 面 


ER 
A womanss, 

OB 
我 没有 所 有 接收 人 的 筷 钥 ， 但 起 们 都 使 用 PGP Desktop 


〇 PGP 自 解密 文 若 


不 使 用 PGP Desktop 接 收 人 


加 只 签名 
创 娃 一 个 PGP 签 名 文件 (不 加 密 ) 


使 用 这 个 选项 以 创建 一 个 PGP 自 解密 文档 (5DA)。 如 果 你 的 接收 人 不 使 用 PGP 

Desktop ， 但 使 用 一 个 运行 微软 windows 的 计算 机 ， 这 是 晤 好 的 选择 。 此 5DA 使 用 一 
个 密码 加 密 。 您 必须 为 所 有 接受 人 分 享 这 个 密码 。 这 么 做 的 时 候 ,要 谨慎 , 悠 必 
须 确 定 只 有 预 央 的 接收 人 学 到 了 窟 码 , 


< 上 — 步 @)]F= 步 YD 3) 


图 2-100 选择 加 密 方式 
P6P 压 第 包 助 手 


PS rp Desktop 


2-101 输入 密码 


(12) 单 击 “ 下 一 步 ” 按 钮 ,在 如 图 2-102 所 示 的 界面 中 选择 加 密 后 的 文件 保存 位 置 。 

(13) 单 击 “ 下 一 步 ” 按 钮 ,PGP Desktop 开始 加 密 运 算 , 完 成 后 出 现 如 图 2-103 所 示 的 
界面 。 

(14) 单 击 “ 完 成 "按钮 ,加 密 后 的 文件 ,是 一 个 可 执行 的 EXE 文件。 双击 该 文件 ,弹出 
如 图 2-104 所 示 的 对 话 框 ,要 求 输入 口令 。 

(15) 输入 正确 密码 , 单 击 “ 确 定 ” 按 钮 ,解压 加 密 文件 。 


PCP 压 箔 包 助手 


签名 并 保存 
六 人 术 验 交 实 性 在 下 面 和 位置 歼 认 你 和 名 用 的 内 


[Z|] 


图 2-102 选择 路 径 
PGP 压 第 包 助手 


° Gp Desktop 已 完成 
悠 的 PGP 压 红包 是 安全 的 


sBrir 
节 孟 pcF 自 解 富 文 档 test_ exe 
报告 


sy 

用 密码 加 密 

日 加 文件 & 文件 夹 
BB test 

较 Docl. aoc 


PCP 自 解 客 文 档 - 输入 宕 码 


选择 一 个 要 释放 数据 的 目录 : 
[C:\Documents and Settings\layHe\My Documents\ | 浏览 (8).… 


请 在 下 面 的 密码 输入 框 中 输入 正确 密码 : 巴 列 寄 慨 入 QD 


图 2-104 输入 密码 
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2.4.5 密码 的 保存 


为 了 保证 密码 的 安全 ， 
- 件 比较 困难 的 事 。 使 用 * 超 级 密码 卫士 ,可 以 分 门 别 类 地 管理 各 类 密码 。 用 户 只 要 记 住 


普 - 普 . 和 捷 


帅 帅 而 


要 为 每 个 账号 设置 不 同 的 密码 ,但 要 记忆 如 此 多 的 密码 是 


“超级 密码 卫士 "的 密码 ,其 他 密码 在 需要 的 时 候 通 过 “超级 密码 卫士 "可 以 方便 地 获得 。 
1. 建立 密码 库 文件 
(1) 运行 超级 密码 卫士 ,出 现 图 2-105 。 


代 超级 密码 卫士 v3. 1 


文件 E) 


编辑 下 ) 显示 外) 


工具 部) 


帮助 吕 


账户 名 称 ] 用户 名 称 


2-105 ”超级 密码 卫士 起 始 界 面 


(2) 执行 “文件 ”1“ 新 建 "命令 ,打开 新 建 密码 库 文件 向 导 , 如 图 2-106 所 示 。 


超级 实 码 卫士 文件 新 建 向 导 
利用 此 向 导 ,将 使 悠 一 步 一 步 建 立 一 个 属于 您 自己 的 密码 管理 
全 | ,从 现在 开始 ,万 却 密码 繁多 而 带 给 您 的 无 尽 烦 恼 吧 


对 每 一 个 管理 文件 车 提 供 有 定时 或 手工 快速 名 定 文件 的 功能 ， 
实时 保护 和 你 的 窑 色 资料、 


软件 可 殿 多 人 使 用 ， 各 人 可 以 建立 各 自 不 同 的 密码 管理 文件 。 
软件 自身 钦 无 木马 之 类 的 代码 ,用 户 对 个 人 的 资料 入 息 存储 、 
管理 安全 可 靠 。 


2-106 ”新 建文 件 向 导 


(3) 单 击 “ 下 一 步 ”, 出 现 图 2-107。 
(4) 输入 要 建立 的 密码 管理 文件 名 称 及 路 径 , 单 击 “ 下 一 步 ”, 出 现 图 2-108。 
(5) 输入 密码 库 文件 密码 , 单 击 “ 下 一 步 ”, 出 现 图 2-109。 
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.a 
路 径 清空 选择 @) 


上 一 步 @ [下 三 世面 ED | 取消 CD | 


图 2-107 密码 管理 文件 


新 建文 件 颁 存 宕 码 


人 


保存 密码 。 厂 ”| 风机 生成 
码 ME 站， es] 
提示 BE [rr 
回答 ai 


2-108 设置 密码 


文 社 快 速 镜 定 


和 


2-109 ”完成 设 定 


(6) 单 击 “完成 ”, 返 回 到 起 始 界 面 。 
2. 在 密码 库 文件 中 添加 账号 和 密码 
(1) 在 起 始 界 面 中 执行 “文件 ”1“ 打 开 ” 命 令 ,选择 密码 库 文件 ,出 现 图 2-110。 


) 
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(2) 输入 密码 库 文件 密码 , 单 击 “确定 ,返回 到 起 始 界 面 。 在 起 始 界 面 中 右键 训 


类 管理 ”, 执 行 “新 增 目录 夹 ” 命 令 , 出 现 图 2-111。 


Dest\test spe 


2-111 在 密码 库 文件 中 建立 目录 夹 


图 2-110 ”打开 密码 库 文件 
(3) 建立 不 同 的 目录 夹 可 以 分 别 存放 不 同 的 账号 和 密码 ,如 将 邮箱 密码 保存 到 “邮箱 ” 
目录 夹 中 、 把 银行 账号 密码 保存 到 “银行 "目录 夹 中 。 在 图 2-111 的 “目录 名 称 ” 文 本 框 中 输 
入 “邮箱 ”, 单 击 “ 确 定 ”, 在 “分 类 管理 ”下 出 现 “ 邮 箱 ” 目 录 夹 ,如 图 2-112 所 示 。 
信 超级 密码 卫士 v3. 1 
显示 QW 工具 C) 帮助 只 


文件 中) 蝙 辑 人 下) 
国 马 日 | 咖 世 Xx QI 局 徊 避 人 9 口 负 四 人 O09 
x | 账户 名 称 [用 户 各 称 


DMtest\test. spe 


2-112 目录 夹 建 立 完 毕 


(4) 单 击 “ 邮 箱 ”, 执 行 “编辑 ”1“ 添 加 账户 ”命令 ,出现 图 2-113。 


图 标 | < 了 


了 | 民生 成 | 下 | 


访问 


Poos-9-18 21:31:39 


| Ev] wwo | 


图 2-113 添加 账户 
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(5) 输入 账户 名 称 、 用 户 名 称 、 用 户 密码 等 信息 , 单 击 “ 确 定 ” 按 钮 ,出 现 图 2-114。 


侍 超级 密码 卫士 v3. 1 辐 回 加 

文件 E)， 编 辑 邓 显示 (工具 训 )， 帮助 中 

国 允 目 | 响 上 共 | 克 氏 四 昌 | 口 名 | 加 个 | 今 ? 且 
x [账户 各 称 用 户 名 称 

-ENE | 


Di Vest\test. spe 


图 2-114 ”账户 添加 完毕 


3. 使 用 密码 库 文 件 中 保存 的 密码 

(1) 在 起 始 界面 中 执行 “文件 "| 打开 ?命令 ,选择 密码 库 文 件 ,输入 密码 库 文件 密码 , 单 
击 “ 确 定 ”, 返 回 起 始 界面 。 

(2) 单 击 “邮箱 ”, 右 键 单 击 账户 ,出 现 如 图 2-115 所 示 的 快捷 菜单 。 


突 超级 密码 卫士 v3. 1 

文件 @) 编辑 下 ) 显示 V) 工具 CI) 帮助 0) 

国 允 园 | 驹 加 关 久 | 局 熏 已 归 | 口 名 | 加 个 | 今 ? 有 

账户 名 称 用 户 名 称 

= [Er | 
拷贝 名 称 Ctrl + 本 
拷贝 密码 EE) Ctrl + 了 
持 贝 链接 LL) Ctrl + 工 


© 
新 增 账户 Ctrl + 大 
编辑 账户 Ctrl+E 


删除 账户 Lelete 


D:\test\test, spe 
图 2-115 选择 需要 密码 的 账户 


(3) 执行 “拷贝 密码 ”命令 ,将 密码 复制 到 “剪贴 板 ”, 从 而 获得 需要 的 密码 。 
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2.4.6 密码 强度 的 检测 


要 保护 系统 的 安全 必须 设置 安全 的 用 户口 令 ,口令 选 择 在 系统 的 整体 安全 中 起 到 关键 
作用 。 用 户口 令 依 据 其 长 度 和 复杂 度 可 以 分 为 强 口 令 和 弱 口 令 两 种 ,所 谓 强 口 令 是 指 其 组 
成 成 分 复杂 ,能 够 涵盖 尽 可 能 多 的 字符 类 型 ,上 且 长 度 足 够 长 ,从 而 不 容易 被 穷 举 的 口令 ; 弱 
口令 则 泛 指 可 以 被 轻易 猜测 或 者 经 过 简单 的 字典 攻击 即 可 被 破解 的 口令 。 

为 了 增强 口令 的 安全 性 ,在 选择 口令 时 要 依据 一 定 的 规则 以 尽量 减少 使 用 弱 口令 的 可 
能 性 。 下 面 是 一 些 选择 口令 的 规则 : 

(1) 在 便于 记忆 的 前 提 下 使 用 尽 可 能 长 的 口令 。 

(2) 使 用 尽 可 能 多 的 字符 类 型 ,如 大 小 写字 母 数字 和 特殊 字符 。 

(3) 不 要 使 用 英文 单词 或 拼音 作为 密码 。 

(4) 不 要 使 用 日 期 或 电话 号 码 作 为 密码 。 

(5) 不 要 使 用 用 户 名 或 者 用 户 名 的 变形 作为 密码 。 

(6) 不 要 将 密码 存放 在 计算 机 的 文件 上 。 

一 个 好 密码 应 当 具 备 以 下 几 个 特点 : 足够 长 ,不 用 完整 的 单词 , 尽 可 能 包括 数字 、 标 点 
符号 和 特殊 字符 ,混用 大 小 写字 符 , 经 常 修改 密码 。 

使 用 “密码 安全 测试 器 ”软件 可 以 测试 密码 的 复杂 度 和 安全 强度 ,并 可 以 得 到 破译 该 密 
码 所 需 时 间 的 大 致 信息 ,可 以 根据 测试 的 分 析 结 果 调 整 自己 的 密码 。 

【 例 2-14】 使 用 “密码 安全 测试 器 ”测试 密码 的 强度 。 

(1) 运行 “密码 安全 测试 器 "软件 ,出 现 如 图 2-116 所 示 的 程序 界面 。 

(2) 在 “请 输入 您 的 密码 ”文本 框 中 输入 口令 shanghai, 单 击 “ 开 始 分 析 ” 按 钮 ,分 析 结 果 
如 图 2-117 所 示 ,破解 该 密码 只 要 17min 即 可 。 


TE 
软件 设计 看 


图 2-116 ”程序 界面 图 2-117 弱 口 令 的 分 析 结 果 


(3) 根据 分 析 结 果 调 整 密码 ,在 密码 中 加 入 大 写字 符 、 数 字 、 特 殊 符号 并 使 长 度 超过 8 
位 ,如 Shang%021Hai。 单 击 “ 开 始 分 析 ” 按 钮 ,分 析 结 果 如 图 2-118 所 示 。 破 解 该 密码 需要 
五 千 多 万 年 ,可 见 其 安全 性 非常 高 。 
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图 2-118 强 口令 的 分 析 结 果 


2.5 数据 库 加 密 


2013 年 美国 得 克 萨 斯 州 审计 办 公 室 数据 库 泄密 ,造成 350 万 人 的 姓名 、 社 会 安全 号 码 
和 邮寄 地 址 .一 些 人 的 出 生日 期 和 驾驶 执照 号 码 等 敏感 信息 被 泄密 了 将 近 整 整 一 年 ; 2013 
年 6 月 8 日 ,花旗 银行 的 银行 网 站 遭 到 黑客 攻击 ,黑客 能 看 到 21 万 北美 地 区 银行 卡 用 户 的 
姓名 、 账 户 和 电子 邮箱 等 信息 ,而且 一 些 用 户 的 信息 已 被 非法 修改 ,个 别 用 户 名 下 出 现 了 多 
个 信用 卡 账号 。 

国际 著名 安全 厂商 迈克 菲 (2012 年 风险 与 合 规 展望 ) 报 告 ,数据 库 安全 成 为 企业 信息 
安全 头等 要 务 ; 2010 年 11 月 30 日 普 华 永 道 发 布 的 年 度 全 球 信息 安全 调查 报告 显示 ,中 
国企 业 信 息 安 全 事故 发 生 率 远 远 高 于 世界 平均 水 平 。 网 络 事故 ,数据 事故 及 系统 事故 是 
中 国企 业 常 见 的 三 大 信息 安全 事故 ,发 生 率 分 别 为 51%、45% 和 40%。 而 相同 事故 在 
全 球 范围 内 的 发 生 率 则 为 25%、27% 与 23%。 也 就 是 说 ,中 国企 业 发 生 信 息 安 全 事故 
的 概率 是 世界 平均 水 平 的 2 倍 左右 。 这 个 数据 与 2009 年 相 比 仍 呈 现 一 定 程度 的 上 升 
趋势 。 

美国 Verizon 最 近 就 “核心 数据 是 如 何 丢失 的 ?做 了 一 次 全 面 的 市 场 调查 ,结果 发 现 ， 
92% 的 数据 丢失 情况 是 由 于 数据 库 漏洞 造成 的 ,如 图 2-119 所 示 ,这 说 明 数 据 库 的 安全 非常 
重要 。 

企业 核心 信息 的 80% 是 以 结构 化 信息 , 即 数据 形式 存在 的 。 数 据 作 为 企业 核心 资产 ， 
一 旦 发 生 非法 访问 、 数 据 算 改 数据 盗 取 ,将 给 企业 在 信誉 和 经 济 上 带 来 巨大 损失 。 

数据 库 安全 建设 在 国内 乃至 全 球 都 是 一 个 新 型 的 安全 领域 ; 过 去 十 多 年 病毒 问题 、 网 
络 安全 问题 的 广泛 暴露 ,用 户 的 网 络 安全 意识 、 主 机 安全 意识 得 到 显著 提升 ,网 络 安全 和 主 
机 安全 产品 和 解决 方案 成 为 安全 建设 的 主体 ; 但 这 些 安全 建设 忽视 了 数据 库 安全 问题 ,使 
数据 库 安 全 成 为 信息 系统 安全 的 最 大 软肋 。 
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Server APP/Server Server Server 


图 2-119 核心 数据 丢失 原因 


数据 库 加 密 系统 能 够 有 效 地 保证 数据 的 安全 ,即使 非法 用 户 窃 取 了 关键 数据 ,他 仍然 难 
以 得 到 所 需 的 信息 ,因为 所 有 的 数据 都 经 过 了 加 密 。 另 外 ,数据 库 加 密 后 ,可 以 设 定 不 需要 
了 解数 据 内容 的 系统 管理 员 不 能 见 到 明文 ,大 大 提高 了 关键 数据 的 安全 性 。 


2.5.1 数据 库 加 密 的 方法 


数据 库 加 密 系统 对 数据 库 密码 的 要 求 是 : 

(1) 数据 库 加 密 以 后 ,数据 量 不 应 明显 增加 ; 

(2) 某 一 数据 加 密 后 ,其 数据 长 度 不 变 ; 

(3) 加 /解密 速度 要 足够 快 ,数据 操作 响应 时 间 应 该 让 用 户 能 够 接受 。 

改变 对 分 组 密码 算法 传统 的 应 用 处 理 方法 ,使 其 加 密 后 密 文 长 度 不 变 ,就 能 满足 以 上 几 
点 要 求 。 


在 使 用 分 组 密码 算法 时 ,对 明文 尾部 不 满 


![213[4s[s[ so 2[ ] _ gg tyr 瞩 通 党 采用 填充 随机 数 的 办 法 将 


第 一 组 加 密 其 扩充 为 一 个 整 组 ,然后 进行 加 密 。 这 种 处 理 
1 2 14]sTe [71s'jholnliz[ 1's | 方法 会 使 数据 扩张 ,不 适合 数据 库 加 密 , 为 此 采 
第 二 组 加 密 用 “密码 挪用 法 ”来 解决 这 个 问题 ,如 图 2-120 

I p'ph’s o"| vy s"| 9| 10" 加 区 13" 所 示 。 


假设 待 加 密 数据 的 长 度 为 13, 每 个 分 组 长 
度 为 8。 第 一 组 (1 一 8) 加 密 后 截取 第 6 一 第 8 
的 密 文 与 尾部 (9 一 13) 组 成 一 个 整 组 进行 加 密 ,加密 所 得 密 文 接 在 前 一 个 组 的 第 5 个 密 文 之 
后 。 其 中 ,第 6 一 第 8 实际 上 进行 了 二 次 加 密 ,在 解密 时 也 应 该 进行 二 次 脱 密 。 这 样 就 保证 
数据 库 加 密 后 的 数据 长 度 不 会 发 生变 化 。 


2.5.2 数据 库 加密 的 实现 
对 数据 库 数据 的 加 密 可 以 在 三 个 不 同 的 层次 实现 ,这 三 个 层次 分 别 是 OS.DBMS 内 核 


图 2-120 密码 挪用 法 
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层 和 DBMS 外 层 。 

1. 在 OS 层 实现 加 密 

由 于 无 法 辨认 数据 库 文件 中 的 数据 关系 ,从 而 无 法 产生 合理 的 密 钥 ,也 无 法 进行 合理 的 
密 钥 管理 和 使 用 。 所 以 ,在 OS 层 对 数据 库 文件 进行 加 密 , 对 于 大 型 数据 库 来 说 ,目前 还 难 
以 实现 。 

2. 在 DBMS 内 核 层 实现 加 密 

在 DBMS 内 核 层 实现 加 密 是 指数 据 在 物理 存 取 之 前 完成 加 /解密 工作 ,DBMS 和 加 密 
器 之 间 的 接口 需要 DBMS 开发 商 的 支持 。 这 种 加 密 方式 的 优点 是 加 密 功能 强 , 并 且 加 密 几 
平 不 会 影响 DBMS 的 功能 。 其 缺点 是 在 服务 器 端 进行 加 /解密 运算 ,加 重 了 数据 库 服 务 器 
的 负载 。 这 种 加 密 方式 如 图 2-121 所 示 。 

3. 在 DBMS 外 层 实现 加 密 

将 数据 库 加 密 系统 做 成 DBMS 的 一 个 外 层 工具 (如 图 2-122 所 示 )。“ 加 密 定 义工 具 ” 
模块 的 主要 功能 是 定义 如 何 对 每 个 数据 库 表 数据 进行 加 密 。 在 创建 了 一 个 数据 库 表 后 , 通 
过 这 一 工具 对 该 表 进 行 定义 “数据 库 应 用 系统 ”模块 的 功能 是 完成 数据 库 定 义 和 操 作 。 数 
据 库 加 密 系统 将 根据 加 密 要 求 自 动 完成 对 数据 库 数 据 的 加 /解密 。 采 用 这 种 加 密 方式 ,加 / 
解密 运算 可 以 放 在 客户 端 进行 ,其 优点 是 不 会 加 重 数据 库 服务 器 的 负载 并 可 实现 网 上 传输 
加 密 , 缺 点 是 加 密 功 能 会 受到 一 些 限制 。 


! 


定义 加 密 要 求 工 具 
加 密 定义 工具 
1 数据 库 
DBMS Oe 件 或 硬件 应 用 系统 
| : | | 
了 
加 密 器 
(软件 或 硬件 ) DBMS -- 
图 2-121 在 DBMS 内 核 层 实现 加 密 图 2-122 在 DBMS 外 层 实现 加 密 


2.5.3 数据 库 加 密 系统 的 结构 


数据 库 加 密 系统 分 成 两 个 功能 独立 的 主要 部 件 : 加 密 字 典 管理 程序 和 数据 库 加 /解密 
引擎 ,体系 结构 如 图 2-123 所 示 。 


加 密 字典 
管理 程序 


加 密 系统 
应 用 程序 


2-123 ”数据 库 加 密 系统 体系 结构 
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数据 库 加 密 系统 将 用 户 对 数据 库 信息 的 具体 加 密 要 求 记载 在 加 密 字典 中 ,加 密 字典 是 
数据 库 加 密 系统 的 基础 信息 。 

加 密 字典 管理 程序 是 管理 加 密 字典 的 实用 程序 ,是 数据 库 管理 员 变 更 加 密 要 求 的 工具 。 
加 密 字 典 管理 程序 通过 数据 库 加 /解密 引擎 实现 对 数据 库 表 的 加 密 、 解 密 及 数据 转换 等 
功能 。 

数据 库 加 /解密 引擎 是 数据 库 加 密 系统 的 核心 部 件 ,负责 在 后 台 完 成 数据 库 信息 的 加 / 
解密 处 理 , 它 对 于 应 用 开发 人 员 和 操作 人 员 是 透明 的 。 

按 以 上 方式 实现 的 数据 库 加 密 系统 具有 很 多 优点 。 首 先 , 系 统 对 数据 库 的 最 终 用 户 完 
全 透明 ,数据 库 管 理 员 可 以 指定 需要 加 密 的 数据 并 根据 需要 进行 明文 / 密 文 的 转换 工作 ; 
其 次 ,系统 完全 独立 于 数据 库 应 用 系统 ,不 需要 改动 数据 库 应 用 系统 就 能 实现 加 密 功能 ， 
同时 系统 采用 了 分 组 加 密 和 二 级 密 钥 管 理 , 实 现 了 “一 次 一 密 ”; 最 后 ,系统 在 客户 端 进行 
数据 加 /解密 运算 ,不 会 影响 数据 库 服务 器 的 系统 效率 ,数据 加 /解密 运算 基本 无 延迟 


感觉 。 


2.6 光盘 加 密 


由 于 CD-ROM 的 文档 结构 是 遵循 ISO-9660 的 标准 制定 的 ,而 ISO-9660 的 文档 结构 
不 但 公开 且 过 于 简单 ,因此 很 难 加 以 保护 。 加 上 光盘 成 本 越 来 越 低 ,各 种 CD-ROM 的 制作 
及 复制 程序 不 断 推陈出新 ,导致 了 盗版 的 严重 泛滥 。 盗 版 是 软件 工业 所 面临 的 最 大 问题 之 
一 ,在 我 国 软件 盗版 非常 严重 ( 据 统 计 达 90% 以 上 ), 这 对 于 我 国 的 软件 行业 发 展 造成 了 很 
大 的 破坏 。 

目前 流行 的 光盘 加 密 技术 主要 可 以 分 为 三 大 类 : 软 加 密 、 硬 加 密 和 物理 结构 加 密 技术 。 


2.6.1 软 加 密 


软 加 密 就 是 通过 修改 ISO-9660 的 结构 ,实现 “垃圾 档 "“ 超 大 容量 文件 和 隐藏 目录 等 
功能 。 由 于 CD-ROM 的 文档 中 记载 着 起 始 位 置 ,长 度 . 属 性 等 信息 ,使 用 者 只 要 熟悉 ISO- 
9660 的 文档 规则 ,通过 修改 这 些 信息 就 可 以 达到 上 述 效 果 。 

1. 光盘 加 密 

通过 修改 文档 的 起 始 位 置 ,可 以 造成 看 得 到 该 文档 却 不 能 对 它 进 行 复制 ,实现 “垃圾 档 ” 
效果 ; 设置 “超大 容量 "文件 的 原理 ,就 是 把 实际 很 小 的 文件 修改 成 几 百 兆 到 上 千 兆 的 超大 
文件 (实际 上 是 欺骗 操作 系统 ) ,造成 文件 复制 失败 ; 隐藏 目录 法 就 是 把 目录 隐 含 掉 , 使 用 浏 
览 器 查看 光盘 时 看 不 到 任何 目录 ,而 只 能 看 到 根 目 录 下 的 几 个 文件 。 

光盘 加 密 大 师 是 一 款 加 密 光 盘 制 作 工 具 , 可 以 用 它 修改 光盘 镜像 文件 ,将 光盘 镜像 文件 
中 的 目录 隐藏 ,将 普通 文件 变 为 超大 文件 ,轻松 制作 加 密 光 盘 。 

【 例 2-15】 使 用 光盘 加 密 大 师 制作 加 密 光 盘 。 

(1) 用 光盘 镜像 编辑 软件 (如 WinISO,CDImage 等 ) 将 整 张 光盘 或 者 硬盘 上 的 文件 制 
作成 光盘 镜像 文件 。 

(2) 运行 光盘 加 密 大 师 ,打开 刚才 做 好 的 光盘 镜像 文件 ,如 图 2-124 所 示 。 
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光盘 加 室 大 师 4. 0.3 加 四 轩 
文件 中 编辑 中， 视图 G) 天助 0 
生生 各 知人 | 外 全 铺 避 币 名 及 


新 虚拟 光盘 \test 
图 2-124 打开 光盘 镜像 文件 


(3) 单 击 工具 栏 上 的 “隐藏 选 定 目录 ”、“ 变 为 超大 文件 "等 按钮 ,实现 将 目录 隐藏 ,文件 
变 大 等 功能 。 

(4) 单 击 “ 写 人 光盘 密码 ”按钮 ,出 现 如 图 2-125 所 示 的 对 话 框 ,可 以 设置 打开 光盘 时 的 
密码 。 

(5) 使 用 Nero 等 刻录 软件 将 镜像 文件 刻 和 人 光盘 ,如 图 2-126 所 示 。 


外 首选 项 
他 写 入 解密 程序 cdrun sxw 并 自动 运行 


个 写 入 解密 程序 cdrun sxw 不 自动 运行 


您 要 使 用 于 个 刻录 机 ? 
| ineee heeorder [CD-R 


全? 
厂 即使 密码 正确 也 禁用 光 人 浏览 如 的 复制 功 能 您 起 要 刻录 什么 


密码 形式 及 密码 um 

人 密码 0-20 位 ,区 分 大 小 写 ) 针 # 

个 按 妇 三 -ao 位 不 分 大 小 写 ) 坊 WE 

个 日期 |200s 年 7 月 26 日 了 | 4380-01-01 至 2099-12-31) 二 复制 整个 光盘 


光盘 映 盖 或 保存 项 目 


格 先前 记录 到 硬盘 驱动 器 的 光 盆 映像 刻录 到 ji 盘 


取消 民 ) 下 一 步 吕 


图 2-125 设置 打开 光盘 时 的 密码 图 2-126 将 镜像 文件 刻 入 光盘 


(6) 打开 刻录 后 的 光盘 ,出 现 如 图 2-127 所 示 的 对 话 框 ， 
要 求 输入 正确 的 密码 。 

2. 加 密 光 盘 的 复制 

上 述 方法 不 能 达到 全 面 保护 光盘 的 目的 ,如 防止 光盘 复 
制 刻录 、 制 作 镜像 文件 等 ,也 逃 不 过 CloneCD、DiscJuggler、 图 2-127 受 密 码 保护 的 光盘 
CDRwin 等 软件 的 “追捕 ”。 

【 例 2-16】 使 用 CloneCD 软件 实现 加 密 光 盘 的 复制 。 

CloneCD 是 一 款 功能 强大 的 CD-Copy 程序 ,不 管 光盘 是 否 有 保护 或 加 密 , 它 能 够 忠实 


从 请 输入 光盘 窗 码 


一 一 一 一 一 
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地 将 其 复制 下 来 。 
(1) 运行 CloneCD 软件 ,在 第 一 次 运行 时 选择 语言 种 类 为 Chinese Simplified, 如 图 2-128 
所 示 。 


oneCD 
Language 

钨 Aabc 鲍 Japanese 磺 spansh 
多 Bahasa Malaysia 国 Korean 葬 Spski 
钨 Bugsian 狗 Lihuanian 钨 Suomi 
鸭 calaan 酌 Macedonian 。 移 Swedsh 


钨 Iaian 本 Siovenski 


[ ok][ ce 


图 2-128 选择 中 文 界面 
(2) 单 击 OK 按钮 ,出 现 如 图 2-129 所 示 的 程序 主 界面 。 


全 CloneCD 


文件 巴 工具 QD 帮助 必 ) 


| 
图 2-129 ”CloneCD 主 界面 


(3) 单 击 “复制 光盘 ”按钮 ,出现 如 图 2-130 所 示 的 对 话 框 。 


仿 人 光盘 驱动 器 复制 到 刻录 机 


EE 


2-130 “从 光盘 驱动 器 复制 到 刻录 机 ”对 话 框 
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(4) 单 击 “下 一 步 ”, 出 现 图 2-131 ,选择 光盘 读 取 驱 动 器 。 


[ES 本 从 光 于 于 示 芝 复制 到 刻录 机 
ai 人 ha 


徊 mm-ao 1.23 GF:) 巷 各 后 由 认 和 提 莘 ， 可 外 不 从 确 
吕 onech 不 全 作用 这 信息 1 


IJYD-RON 
@ @@ @ en 1.23 
Mdio CD Data ch Gane CD Be 


© ES BA: 
片断 数目 、 


Nultinedia 。 Protected 
合 Er ext: 否 
筷 用 大 小 : 588138 k 字 节 
247353 
;54:58:03 (分 : 秒 :小 数 ) 


上 
对 568138 k 字 节 


Track 1 | 9 紧 
器 2 


加 


图 2-131 “选择 光盘 读 取 驱 动 器 ”对话 框 
(5) 单 击 “ 下 一 步 ”, 出 现 图 2-132, 生 成 映像 文件 。 


仿 从 光盘 驱动 器 复制 到 刻录 机 


= 已 插入 光盘 的 信息 ; 
C: \DOCWME 1 \ADNINT “1\LOCALS“I\Temp\INAGE ccd | [LE 1 
CD- 


se x 守节 
站 


54;58:03 (分 : 秒 :小 数 ) 


口 闻 刍 "Cue-Sheet” 片断 1 和 ee 


刻录 成 功 后 删除 Track 1 回味 2， 大 小 : 547467 k 字 节 
后 w Track 2: 大 小 : 10335 k 字 节 
复制 "On the Fly" Track 3; 音 永 ， 大 小 : 10335 k 字 节 


CE 


图 2-132 选择 映像 文件 对 话 框 


(6) 单 击 “ 下 一 步 ”, 出 现 图 2-133 ,选择 刻录 机 。 
(7) 单 击 “ 下 一 步 ”, 选 择 刻录 速度 ,如 图 2-134 所 示 。 
(8) 单 击 “ 确 定 ”, 出 现 图 2-135 , 读 取 光盘 内 容 。 
(9) 读 取 完成 后 , 写 入 到 刻录 机 中 ,如 图 2-136 所 示 。 
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上 
LITE-ON 
LTR-5232TS 
rR Qs57 


六 ee 可 能 不 礁 确 * 
该 信 | 


-SA0 模 式 藉 
与 CloneCD RA Si 加 a 是 
支持 运行 模式 下 缓存 


图 2-133 “选择 刻录 机 ”对 话 框 


售 从 光盘 驱动 器 复制 到 刻录 机 
选择 i 


刻录 机 信息 


撤 LITE-ON LTR-52327S QS57 0 ) 各 md 


修订 次 数 : Qs57 


ni es 
本 


口 仿真 刻录 (不 是 所 有 的 刻录 机 都 支持 ) 
orc A 六 


OO © | 生生 人 本， 
| 
了 CloneCD RAW-: | 是 


| 
Audio CD DC Gmech [Ee 茵 容 : 是 


人 
© @ ee 826528 k 字 节 


Multinedia 。 Protected 
Andio CD PC Gane 


Tete 份 : 秘 :小 数 ) 


图 2-134 “选择 刻录 速度 ”对 话 框 


SclonecD 同 回 . ET 
IRO TRO 
从 光盘 读 取 片断 进度 1， 总 计 1 写 入 片断 1 映像 文件 . 


1 囊 | 
人 @' 


已 用 时 间 : 00:01:00 ”剩余 : 00:00:50 已 用 时 间 : 00:01:25 剩余: 00:00:40 


当前 速度 :5500 kByte/s (31.25) 当前 速度 : 6240 kByte/s (35. 46) 


主 绥 存 i ©@ 
子 摊 存 : 


图 2-135 正在 读 取 光盘 内 容 图 2-136 正在 写 入 刻录 机 
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(10) 刻录 完成 后 ,出 现 图 2-137。 cionecp ” 国 


2.6.2 硬 加 密 st 
ee [mE | 
采用 硬 加 密 的 光盘 ,在 运行 时 需要 某 些 特定 设备 ,如 加 密 狗 、 特 


定 的 解码 电路 特定 光驱 或 特定 播放 设备 。 这 种 加 密 方法 的 技术 难 “图 2.437 复制 完成 
度 高 ,加密 强 度 好 ,但 使 用 不 方便 且 加 密 费 用 高 。 

从 外 观 上 来 看 ,多 数 加 密 狗 是 体积 小 如 火柴 盒 、 接 在 并 口 或 USB 口 的 保护 装置 ,其 加 密 
思想 是 在 程序 执行 中 与 加 密 狗 交 换 数据 。 采 用 “用 户 算法 植 和 人 ”的 加 密 狗 在 加 密 硬件 中 开辟 
一 块 存储 区 ,将 用 户 程序 的 一 部 分 写 进去 ,并 交 由 加 密 狗 来 执行 。 用 户 程序 如 果 没 有 狗 ,将 
不 完整 。 加 密 狗 与 用 户 程序 由 此 实现 了 最 紧密 的 结合 , 令 加 密 效果 特别 可 靠 。 

采用 特定 设备 的 典型 是 Wave Systems 公司 ,该 公司 与 提供 盘 片 内 容 的 公司 和 原始 设 
备 制造 商 建立 伙伴 关系 , 同 计算 机 一 起 捆绑 销售 CD-ROM 和 DVD-ROM。 要 购买 CD- 
ROM 和 DVD-ROM ,消费 者 必须 拥有 一 种 结合 了 WaveMeter 的 附加 卡 或 外 围 设 备 ,或 者 
安装 了 WaveMeter 的 新 的 电脑 。 一 旦 WaveMeter 通过 WaveNet 注册 ,消费 者 才 可 以 使 用 
CD 上 的 内 容 。 这 种 办 法 ,当然 可 以 很 有 效 地 防止 盗版 ,但 是 很 明显 ,其 费用 是 很 高 的 ,因为 
要 附加 特定 的 软 硬 件 。 


2.6.3 ”物理 结构 加 密 技术 


物理 结构 加 密 技 术 ,就 是 改变 光盘 的 物理 结构 ,其 主要 原理 是 利用 特殊 的 光盘 母 盘 上 的 
某 些 特征 信息 是 不 可 再 现 的 ,这 些 特 征 信息 位 于 光盘 复制 时 复制 不 到 的 地 方 , 大 多 是 光盘 上 
非 数 据 性 的 内 容 。 

在 使 用 光盘 刻录 工具 进行 光盘 复制 的 过 程 中 ,会 被 系统 检测 成 " 坏 扇 区 ?而 中 断 复制 , 合 
法 软件 因此 得 到 了 保护 。 但 是 母 盘 设备 价值 昂贵 ,改动 母 盘 机 ,首先 会 产生 额外 费用 ,其 次 
操作 不 便 且 耽误 软件 产品 的 上 市 时 间 ,最 后 在 对 抗 虚拟 光驱 类 程序 时 也 显示 出 不 足 。 

例如 TTR、LASERLOCK、Macrovision、C-Dilla 等 公司 在 光盘 上 制作 出 指纹 (特殊 的 轨 
道 、. 扇 区 ) ,这 些 指纹 无 法 通过 刻录 设备 或 母 盘 制作 设备 读 取 。 用 光盘 测试 软件 测试 时 发 现 ， 
盘 片 上 有 许多 的 坏 扇 区 ,这些 坏 扇 区 就 是 用 来 防止 对 光盘 进行 拷贝 的 。 但 是 对 于 这 些 防 盗 
版 盘 , 如 果 将 其 文件 复制 到 硬盘 上 ,然后 用 一 个 光驱 虚拟 软件 将 这 些 文件 虚拟 成 一 个 光盘 的 
话 ,仍然 可 以 正常 运行 。 


习 题 


. 什么 是 明文 、 密 文 和 密 钥 ? 

. 密码 攻击 的 方法 有 哪 几 种 ? 特点 是 什么 ? 

- 对 称 密码 体制 和 非 对 称 密 码 体制 的 特点 是 什么 ? 

. 代替 密码 和 换 位 密码 的 特点 是 什么 ? 

. 使 用 加 法 密码 ,乘法 密码 、 仿 射 密码 、 密 钥 短 语 密码 、 维 吉 尼 亚 密 码 、 换 位 进行 加 密 和 


wD- 


解密 。 
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. 简 述 现代 密码 学 的 两 大 成 就 。 

. 公开 密 钥 如 何 应 用 于 保密 通信 和 数字 签名 ? 

.申请 数字 证 书 , 实 现 电子 邮件 的 数字 签名 。 

. 简 述 基于 生物 特征 密码 技术 的 基本 原理 和 过 程 。 

. 上 机 实现 RAR 文件 .Office 文件 .PDF 文件 的 加 密 与 破解 。 
。 上 机 使 用 通用 文件 加 密 软 件 Easycode Boy Plus 对 文件 进行 加 密 。 
. 上 机 使 用 PGP Desktop 实现 对 文件 或 文件 夹 的 加 密 。 

. 上 机 实现 密码 的 保存 。 

. 简 述 选择 强 口 令 的 规则 。 

. 数据 库 加 密 系 统 有 哪些 特殊 要 求 ? 

. 简 述 光盘 加 密 技术 的 三 种 技术 。 
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保密 通信 已 经 有 了 几 千 年 的 历史 , 它 最 先 用 于 政治 和 军事 ,进入 信息 时 代 后 ,通信 保 
密 不 仅仅 限于 军事 和 政治 ,商业 和 个 人 隐私 的 保护 使 得 保密 通信 成 为 越 来 越 多 人 的 基本 
需要 。 信 息 时 代 的 军事 、 政 治 更 依赖 于 保密 通信 ,因为 信息 传送 已 成 为 现代 信息 战 的 重 
要 一 环 。 

通信 保密 技术 包括 数据 保密 通信 .话音 保密 通信 和 图 像 保密 通信 。 


3.1 保密 通信 的 基本 要 求 


保密 通信 的 基本 要 求 是 : 保密 性 、 实 时 性 、 可 用 性 和 可 控 性 。 

1. 保密 通信 的 保密 性 要 求 

通信 的 保密 性 指 防止 信息 被 非 授 权 地 泄露 ,包括 通信 的 隐蔽 性 .通信 对 象 的 不 确定 性 和 
抗 破译 能 力 。 

1) 通信 的 隐蔽 性 

要 从 通信 中 获得 信息 首先 必须 明确 是 否 正 在 进行 通信 ,如 果 不 知 是 否 正在 通信 ,当然 无 
法 窃取 通信 中 的 信息 。 

2) 通信 对 象 的 不 确定 性 

窃 密 者 虽然 知道 正在 进行 通信 ,但 根本 无 法 知道 通信 的 双方 是 谁 ,这 在 技术 上 称 为 对 抗 
业务 流 分 析 。 

3) 抗 破译 能 力 

虽然 窃 密 者 获得 了 通信 信息 ,但 是 由 于 信息 已 被 加 密 , 窃 密 者 不 能 破译 信息 的 内 容 。 

上 述 三 种 要 求 中 ,最 基本 的 是 抗 破译 性 ,其 次 是 通信 对 象 的 不 确定 性 ,最 后 才 是 通信 的 

2. 保密 通信 的 实时 性 要 求 

保密 通信 可 能 会 影响 到 通信 的 实时 性 ,保密 通信 的 实时 性 要 求 就 是 要 把 这 个 影响 减少 
到 最 低 程 度 , 使 传送 的 延迟 时 间 越 短 越 好 。 

例如 对 于 实时 性 要 求 很 强 的 电话 业务 ,如 果 保 密 电话 时 延 较 大 ,一方 的 讲话 过 很 久 才 传 
到 对 方 , 就 违反 了 正常 电话 通信 的 方式 ,没有 人 会 愿意 使 用 。 

又 如 活动 图 像 通信 ,如 果 本 来 连续 的 画面 ,由 于 时 延 大 ,成 了 木头 人 一 样 不 连贯 的 动作 ， 
即使 保密 性 很 好 ,也 不 能 满足 活动 图 像 通信 的 要 求 。 

3. 保密 通信 的 可 用 性 要 求 

可 用 性 指 合法 使 用 者 能 方便 迅速 地 使 用 保密 通信 系统 ,满足 使 用 者 要 求 的 各 种 服务 。 

例如 保密 电话 ,合法 使 用 者 随时 拿 起 话 简 即 可 通话 ,不 能 使 接 通 率 下 降 , 不 能 让 使 用 者 
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过 多 地 等 待 或 进行 过 多 的 操作 。 

4. 保密 通信 的 可 控 性 要 求 

可 控 性 要 求 指 某 些 保密 通信 经 过 一 定 的 法 律 法 规 批 准 后 ,可 以 由 法 律 规定 部 门 监听 通 
信和 内容, 避免 犯罪 分 子 利用 保密 通信 进行 犯罪 活动 ,保护 国家 利益 和 人 民利 益 ,保证 社会 的 
安定 。 


3.2 数据 保密 通信 


数据 通信 是 把 数据 的 处 理 和 传输 合 为 一 体 , 以 实现 数字 形式 信息 的 接收 ,存储 ` 处 理 和 
传输 ,并 对 信息 流 加 以 控制 校 验 和 管理 的 一 种 通信 形式 。 

数据 通信 与 电话 .电报 通信 方式 的 区 别 是 : 电话 传送 的 是 话音 ,电报 传送 的 是 文字 或 传 
真 图 像 ,而 数据 通信 传送 的 是 数据 , 即 由 一 系列 字母 .数字 和 符号 所 表示 的 概念 .命令 等 。 在 
电话 和 电报 通信 中 ,通信 双方 都 是 人 ,而 数据 通信 则 是 操作 员 使 用 终端 设备 ,通过 线路 与 远 
端的 计算 机 ,或 计算 机 之 间 交 换 信息 ,其 本 质 是 机 器 之 间 的 通信 。 

数据 通信 的 加 密 可 以 通过 下 列 方式 实现 : 在 数据 传送 前 ,对 欲 传 送 的 信息 进行 加 密 或 
隐藏 处 理 ; 在 数据 传送 过 程 中 ,对 传输 信道 和 传输 设备 中 传送 的 信息 采用 逐 链 加 密 、 端 端 加 
密 或 混合 方式 加 密 。 


3.2.1 网 络 通信 保密 技术 


现代 通信 中 数据 通信 大 多 呈现 网 络 通信 ,网 络 通信 保密 技术 是 指 根据 网 络 的 构成 和 通 
信 的 特点 ,根据 应 用 环境 的 不 同 要 求 , 将 密码 术 加 到 计算 机 网 络 上 的 技术 。 其 基本 的 保密 技 
术 就 是 加 密 , 加 密 的 方法 包括 : 逐 链 加 密 、 端 端 加 密 和 混合 方式 加 密 。 

1. 逐 链 加 密 

逐 链 加 密 在 OSI 的 数据 链 路 层 实现 。 在 数据 传输 的 每 一 个 节点 上 ,对 数据 报 文正 文 、 
路 由 信息 , 校 验 和 等 控制 信息 全 部 加 密 , 每 一 个 节点 都 必须 有 密码 装置 ,以 便 解 密 、 加 密 
报 文 。 

当 数 据 报 文 传输 到 某 个 中 间 节 点 时 ,必须 被 解密 以 获得 路 由 信息 和 校 验 和 ,进行 路 由 选 
择 和 差错 检测 ,然后 再 被 加 密 ,发 送 到 下 一 个 节点 ,直到 数据 报 文 到 达 目 的 节点 为 止 。 

在 中 间 节 点 上 的 数据 报 文 是 以 明文 出 现 的 ,所 以 要 求 网 络 中 的 每 一 个 中 间 节 点 都 要 配 
置 安全 单元 ( 即 信 道 加 密 机 ) 。 

由 于 报 文 和 报头 同时 进行 加 密 , 有 利于 对 抗 业务 流量 分 析 。 

2. 端 端 加 密 

数据 在 发 送 端 被 加 密 ,在 最 终 目的 地 (接收 端 ) 解 密 , 中 间 节 点 不 以 明文 的 形式 出 现 。 

端 端 加 密 是 在 应 用 层 完 成 的 。 除 报头 外 的 报 文 , 均 以 密 文 形式 贯穿 于 全 部 传输 过 程 中 。 
只 是 在 发 送 端 和 接收 端 才 有 加 解密 设备 ,在 任何 中 间 节 点 报 文 均 不 解密 ,因此 ,不 需要 有 密 
码 设备 。 同 逐 链 加 密 相 比 ,可 减少 密码 设备 的 数量 。 

另 一 方面 .信息 是 由 报头 和 报 文 组 成 的 , 报 文 是 要 传送 的 信息 ,报头 是 路 由 选择 信息 。 
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由 于 网 络 传输 中 涉及 路 由 选择 ,在 逐 链 加 密 时 , 报 文 和 报头 两 者 均 须 加 密 。 而 在 端 端 加 密 
时 ,由 于 通道 上 的 每 一 个 中 间 节 点 虽 不 对 报 文 解密 ,但 为 将 报 文 传送 到 目的 地 ,必须 检查 路 
由 选择 信息 ,因此 ,只 能 加 密 报 文 ,而 不 能 对 报头 加 密 。 

端 端 方式 对 整个 网 络 系统 采取 保护 措施 ,解决 了 在 节点 中 数据 是 明文 的 缺点 ,但 报头 必 
定 以 明文 形式 出 现 , 容 易 遭 受 业务 流量 分 析 。 

3. 混合 方式 加 密 

采用 逐 链 加 密 方式 ,从 起 点 到 终点 ,要 经 过 许多 中 间 节 点 ,在 每 个 节点 均 要 转换 为 明文 ， 
如 果 链 路 上 的 某 个 节点 安全 防护 比较 薄弱 ,那么 按照 木 桶 原理 ( 木 桶 水 量 由 最 低 一 块 木板 决 
定 ) ,虽然 采取 了 加 密 措施 ,但 整个 链 路 的 安全 只 相当 于 最 薄弱 节点 处 的 安全 状况 。 

采用 端 端 加 密 方式 ,由 发 送 方 加 密 报 文 ,接收 方 解 密 报 文 , 中 间 节 点 不 必 加 解密 ,也 就 不 
需要 密码 装置 。 此 外 ,加 密 可 采用 软件 实现 ,使 用 起 来 很 方便 。 在 端 端 加 密 方式 下 ,每 对 用 
户 之 间 都 存在 一 条 虚拟 的 保密 信道 ,每 对 用 户 共享 密 钥 , 所 需 的 密 钥 总 数 等 于 用 户 对 的 数 
目 。 对 于 几 个 用 户 , 若 两 两 通信 ,共和 需 密 钥 n(n 一 1)/2 个 ,每 个 用 户 需 n 一 1 个 密 钥 。 这 个 数 
目 将 随 网 上 通信 用 户 的 增加 而 增加 。 为 安全 起 见 , 每 隔 一 段 时 间 还 要 更 换 密 钥 ,有 时 甚至 只 
能 使 用 一 次 性 密 钥 , 密 钥 的 用 量 很 大 。 

逐 链 加 密 , 每 条 物理 链 路 上 ,不 管用 户 多 少 ,可 使 用 一 种 密 钥 。 在 极端 情况 下 ,每 个 节点 
都 与 男 外 一 个 单独 的 节点 相连 , 密 钥 的 数目 也 只 是 n(n 一 1)/2 个 。 这 里 是 节点 数 而 非 用 
户 数 ,一 个 节点 一 般 有 多 个 用 户 。 

从 身份 认证 角度 看 , 逐 链 加 密 只 能 认证 节点 ,而 不 是 用 户 。 使 用 节点 A 密 钥 的 报 文 , 仅 
仅 保证 它 来 自 节点 A。 报 文 可 能 来 自 A 的 任何 用 户 , 也 可 能 来 自 另 一 个 路 过 节点 A 的 用 
户 。 因 此 逐 链 加 密 不 能 提供 用 户 鉴别 。 端 端 加 密 对 用 户 是 可 见 的 ,可 以 看 到 加 密 后 的 结果 ， 
起 点 、 终 点 很 明确 ,可 以 进行 用 户 认证 。 

总 之 , 逐 链 加 密 对 用 户 来 说 比较 容易 ,使 用 的 密 钥 较 少 ,而 端 端 加 密 比 较 灵活 ,用 户 可 
见 。 将 两 种 加 密 方式 结合 起 来 .对 于 报头 采用 逐 链 方式 进行 加 密 , 对 于 报 文采 用 端 端 方式 加 
密 , 称 为 混合 方式 加 密 。 


3.2.2 信息 隐藏 技术 


信息 隐藏 起 源 于 古老 的 隐 写 术 。 在 古 希 腊 战 争 中 ,为 了 安全 传送 军事 情报 ,奴隶 主 
剃 光 奴隶 的 头发 ,将 情报 纹 在 奴隶 的 头皮 上 , 待 头 发 长 长 后 再 派出 去 传送 消息 。 我 国 古 


文 或 画卷 中 的 特定 位 置 ,一 般 人 只 注意 诗 或 画 的 表面 意境 ,而 不 会 去 注意 或 破解 隐藏 其 
中 的 密语 。 

使 用 加 密 技术 对 信息 进行 加 密 ,使 得 在 信息 传递 过 程 中 的 非法 拦截 者 无 法 从 中 获取 机 
密 信 息 , 从 而 达到 保密 的 目的 。 但 这 种 方法 有 一 个 明显 的 不 足 : 加 密 技 术 把 一 段 有 意义 的 
明文 信息 转换 成 看 起 来 没有 意义 的 密 文 信息 , 它 明确 提示 攻击 者 哪些 是 重要 的 信息 ,容易 引 
起 攻击 者 的 注意 ,从 根本 上 造成 了 一 种 不 安全 。 即 使 攻击 者 破译 失败 ,也 可 将 信息 破坏 ,使 
合法 接收 者 无 法 阅读 信息 内 容 。 

信息 隐藏 技术 正 是 在 上 述 背 景 下 发 展 起 来 的 , 它 将 机 密 信息 秘密 隐藏 于 普通 文件 中 , 然 
后 通过 网 络 发 送出 去 。 非 法 拦截 者 从 网 络 上 拦截 下 的 经 伪装 后 的 机 密 资 料 ,并 不 像 传统 加 
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密 过 的 文件 那样 是 一 堆 乱码 ,而 是 看 起 来 和 其 他 非 机 密 性 的 一 般 资 料 无 异 ,因而 容易 欺骗 非 
法 拦截 者 。 

信息 隐藏 技术 作为 一 种 新 兴 的 信息 安全 技术 已 经 在 许多 应 用 领域 被 使 用 , 它 主要 的 两 
个 分 支 为 隐秘 术 和 数字 水 印 ,应 用 于 Internet 传输 秘密 信息 时 ,被 称 为 隐秘 术 ; 应 用 于 版 权 
保护 时 ,被 称 为 数字 水 印 技术 。 

信息 隐藏 的 目的 不 是 限制 正常 的 信息 存 取 ,而 是 保证 隐藏 的 信息 不 引起 攻击 者 的 注意 
和 重视 ,从 而 减少 被 侵犯 的 可 能 性 ,在 此 基础 上 再 使 用 密码 学 中 的 经 典 方 法 来 加 强 隐藏 信息 
的 安全 性 。 

信息 隐藏 的 方法 是 利用 人 类 感觉 器 官 的 不 敏感 (感觉 元 余 ) 和 多 媒体 数据 中 存在 的 元 余 
(数据 特性 元 余 ) ,将 受 保护 信息 隐藏 在 载体 信息 中 ,对 外 只 表现 载体 信息 的 外 部 特征 ,而 不 
改变 载体 信息 的 基本 特征 和 使 用 价值 。 

替换 系统 是 最 常用 的 隐藏 系统 。 基 本 的 替换 系统 试图 用 秘密 信息 比特 替换 伪装 载体 中 
不 重要 的 部 分 ,以 达到 对 秘密 信息 进行 编码 的 目的 。 如 果 接 收 者 知道 秘密 信息 嵌入 的 位 置 ， 
他 就 能 提取 出 秘密 信息 。 由 于 在 嵌入 过 程 中 仅 对 不 重要 的 部 分 进行 修改 ,发 送 者 可 以 假定 
这 种 修改 不 会 引起 攻击 者 的 注意 。 

1. 基于 文本 的 信息 隐藏 

在 文本 数据 中 隐藏 秘密 信息 的 方法 可 以 将 信息 直接 编码 到 文本 内 容 中 (利用 语言 的 自 
然 元 余 性 ) ,或 者 将 信息 直接 编码 到 文本 格式 中 (如 调整 字 间 距 或 行 间 距 等 ) 。 

【 例 3-1】 使 用 ByteShelter I 实现 将 秘密 信息 隐藏 在 rich text 文本 中 。 

(1) 运行 ByteShelter 工 软件 ,界面 如 图 3-1 所 示 。 


ByteShelter I -~ Filthy Rich Text 


Data carier [Rich Text] 


This stegancgraphy tool lets you add hidden data to rich text ragments. Copy or cut your rich text 
to the clipboard, cick Yoad fom cipboard' define your extra data, cick save to cipboard' and 
finaly paste the updated cipboard contents back into your rich text editor. 


< 
a 
2 
3 
8 
8 
人 
8 
省 
量 
a 
也 
3 
匡 


ByteShelter | - Filthy Rich Text 


本 


图 3-1 ByteShelter I 软件 运行 界面 


(2) 运行 包含 rich text 的 软件 ,如 Word ,在 其 中 输入 任 


何 文字 ,选中 它们 后 复制 到 剪贴 板 。 Please enter your passnard; 
(3) 单 击 Load from clipboard 按钮 ,出 现 如 图 3-2 所 示 | 
的 Password 对 话 框 。 En 
(4) 输入 密码 , 单 击 OK 按钮 ,显示 从 剪贴 板 中 粘贴 的 文 
字 的 字符 数 ,如 图 3-3 所 示 。 eh 
(5) 在 Message 文本 框 中 输入 要 隐藏 的 文本 ,注意 输入 eer A 
的 文本 不 能 超出 Total cloaking space 中 显示 的 长 度 。 完 成 Coc) coe ) 


后 单 击 Save to clipboard 按钮 ,软件 将 要 输入 的 信息 隐藏 在 


前 面 Word 中 输入 的 文字 中 ,并 复制 到 前 贴 板 中 。 四 pepesg 划 耻 权 


一 Filthy Rich Text 


Data carier [Rich Text] 


oad from cipboard 


Cloaked dala [65 B avalable space ef 
Message 


Tis steganog ephy lool ets you ocdd Hidden dele to ich tent agmeris. Cory or cu your feh let 
to the chpboard, clck Yoad fom chpboard, define your extra dala, chick ‘save to cipboatd an 
finaly paste the updated clipboard contents back into your rich text editor. 


< 
目 
各 
| 
© 
3 
站 
呈 
中 
人 


ByteShelter | - Filthy Rich Text 


Si 


图 3-3 显示 粘贴 的 字符 数 


(6) 退出 ByteShelter I] 软件。 新 建 Word 文件 ,粘贴 剪贴 板 中 的 内 容 , 保 存 该 Word 
交 件 。 

(7) 要 显示 隐藏 信息 , 则 打开 该 Word 文件 ,复制 文本 内 容 到 剪贴 板 。 运 行 ByteShelter 
工 软件 , 单 击 Load from clipboard 按钮 .出现 Password 对 话 框 ,输入 正确 的 密码 ,在 
Message 文本 框 中 自动 显示 隐藏 的 信息 ,如 图 3-4 所 示 。 

2. 基于 图 像 的 信息 隐藏 

图 像 和 数字 声音 天 然 地 包含 各 种 噪声 形式 的 元 余 , 可 以 将 秘密 信息 放置 在 信号 的 噪声 
成 分 中 ,通过 对 秘密 信息 进行 某 种 方式 的 编码 ,使 它 与 真正 的 随机 噪声 不 可 区 分 ,以 实现 信 
息 隐藏 。 

【 例 3-2〗 使 用 Easycode 将 文本 文件 test. txt 嵌入 test. jpg 文件 中 。 

(1) 运行 Easycode, 单 击 “* 文 件 嵌 入 ?选项 。 

(2) 查看 并 记 下 test. jpg 和 test. txt 文件 的 内 容 。 
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ByteShelter I — Filthy Rich Text 


Data carier [Rich Text] 


Cloaked dala [60 B avalable space lefl] 


Message 
helo 


This steganography loal lets you add hidden data to rich text fragments. Copy or cut your fich text 
to the chipboard, cick Yoad from chpboard. define your extra dala, cick ‘save to cipboard' and 
finaly paste the updated clpboard contents back into your fich text edior 


RTF Data cloaker (c) 2004 MazZoft NDA 


ByteShelter | - Filthy Rich Text 


Si 


图 3-4 显示 隐藏 的 文本 内 容 
(3) 分 别 单 击 右 上 角 的 “浏览 ”按钮 ,选择 寄主 文件 test. jpg 和 寄生 文件 test. txt, 在 下 


方 的 “密码 ”文本 框 和 ”确认 ”文本 框 中 输入 密码 ,选中 * 财 入 后 删除 寄生 文件 ” 复 选 框 ,如 
图 3-5 所 示 。 


全 5 四 


DT: \teacher\HETN\ 信 息 对 抗 与 网 络 安全 \ 软 件 \eh3\test. JPG [a 


选择 想 要 嵌入 的 文件 ( 这 个 文件 加 密 后 被 嵌入 寄主 中 隐 半 起 来 》: 
Di:\teacher\HETI\ 信 息 对 抗 与 网 络 安全 \ 坎 件 \eh3vtest txt 蓉 训 览 
密码 : |t#t 确认 : [tt 垃 入 文件 后 英 除 寄生 文件 咬 嵌 入 文件 
请 选择 要 知 放 奇 生 文件 的 坷 主 文件 《 霖 主 交 件 很 夫 填 

FE 
寄生 文件 保存 的 目录 ( 留 空 则 保存 到 寄主 文件 所 在 目录 ,手动 输入 请 不 要 在 未 尾 加 \ 》: 

国 尖 和 
输入 释放 密码 : 口 其 下 后 恢 政 二 文件 和 及 交替 。| 区 释 训 文件 


3-5 将 文本 文件 嵌入 到 jpg 文件 中 


(4) 单 击 “ 租 入 文件 "按钮 ,出 现 如 图 3-6 所 示 的 对 话 框 ,表示 test. txt 文件 已 被 嵌入 
test. jpg 中 。 查 看 test. txt 文件 ,发 现 已 被 删除 。 

(5) 分 别 查 看 嵌入 文本 文件 前 后 的 jpg 文件 ,如 图 3-7 
所 示 , 可 以 发 现 文件 内 容 没有 发 生变 化 。 

【 例 3-3】 使 用 Easycode 释放 test. jpg 文件 中 的 寄 
生 文件 test. txt。 


YY 寄生 文件 已 经 成 功 添加 到 霖 主 文件 中 


图 3-6 贬 入 成 功 
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(a) 谋 入 前 (b) 谋 入 后 


图 3-7 嵌入 前 后 jpg 文 件 的 比较 


(1) 运行 Easycode, 单 击 “ 文 件 和 宜人 ”选项 。 
(2) 单 击 右 下 角 的 “浏览 ”按钮 ,选择 寄主 文件 test. jpg, 在 下 方 的 “输入 释放 密码 ”文本 
框 中 输入 密码 ,选中 “释放 后 恢复 寄主 文件 初始 状态 ”" 复 选 框 ,如 图 3-8 所 示 。 


选择 想 要 嵌入 的 文件 ( 这 个 文件 加 密 后 被 嵌入 寄主 中 隐 疗 起 来 ) : 

BK | 
密码 : 确认 : 堪 入 文件 后 姓 除 寄生 文件 唾 嵌 入 文 件 
请 选择 要 辞 放 寄生 文 首 的 奇 主 文件 5 硒 主 文件 很 夫 时 全 
TVteacherWETN 信 息 对 抗 与 网 络 安 全 \ 软 件 \ehavtest_ JPC 蒂 浏览 
寄生 文件 保存 的 目录 ( 留 空 则 保存 到 寄主 文件 所 在 目录 ,手动 输入 请 不 要 在 未 尾 加 \) : 

L Su | 
输入 释放 密码 ; 村 回 释放 后 恢复 寄主 文件 初始 状态 医 释 训 文 件 


图 3-8 释放 文件 


(3) 单 击 “ 释 放 文件 ”按钮 ,释放 成 功 后 ,显示 如 图 3-9 所 示 的 对 话 框 。 

(4) 打开 test. txt 文件 ,其 内 容 与 原来 一 致 。 

3. 基于 声音 的 信息 隐藏 

由 于 人 类 的 听觉 系统 对 声音 的 相位 不 敏感 ,因此 
可 以 根据 这 个 事实 将 秘密 数据 隐藏 在 数字 声音 中 。 通 
常 的 做 法 是 对 音频 信号 进行 快速 傅 里 叶 变 换 , 通 过 修 图 3.9 释放 成 功 
改 相 位 值 以 插入 秘密 信息 ,将 结果 反 变 换 到 时 域 上 即 
可 得 到 伪装 结果 。 

【 例 3-4】 使 用 MP3 Stego 将 WAV 文件 压缩 成 MP3 的 过 程 中 隐藏 文本 文件 。 

(1) 在 命令 行 方式 下 执行 以 下 命令 : 


encode 一 卫 hidden text.txt 一 P pass svega. wav svega_ stego.mp3 


(2) 压缩 svega. wav 的 过 程 如 图 3-10 所 示 ,压缩 成 功 后 将 hidden_text. txt 文件 隐藏 在 
svega_stego. mp3 文件 中 。 
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°° C:\windovs\systen32\cad. exe 


图 3-10 压缩 声音 文件 时 隐藏 文本 文件 
(3) 要 从 svega_stego. mp3 文件 中 释放 隐藏 的 文本 文件 ,执行 命令 : 
decode -X - pass svega_stego. mp3 


(4) 释放 过 程 如 图 3-11 所 示 , 释 放出 的 文本 文件 名 为 svega_stego. mp3. txt, 内 容 与 


hidden_text. txt 完全 相同 。 


°C:\windows\systen32\cad. exe [- [Jx] 


3-11 将 隐藏 的 文本 文件 从 MP3 释放 


4. 基于 可 执行 文件 的 信息 隐藏 

可 执行 文件 中 也 包含 大 量 的 元 余 信息 ,可 以 通过 安排 独立 的 一 串 指令 或 者 选择 一 个 指 
令 子 集 来 隐藏 数据 。 代 码 迷 乱 技术 正 是 一 种 用 于 在 可 执行 文件 中 隐藏 信息 的 技术 ,该 技术 通 
过 把 一 个 程序 P 变换 成 一 个 功能 等 价 的 程序 P, 实 现 将 秘密 信息 隐藏 在 所 用 的 变换 序列 中 。 

5. 隐藏 信息 的 检测 

信息 隐藏 技术 的 发 展 也 带 来 了 一 定 的 负面 效果 , 据 美国 媒体 透露 ,已 经 发 现 恺 怖 组 织 利 
用 隐藏 在 图 像 中 的 信息 传递 联络 情报 ,甚至 将 计算 机 病毒 隐藏 在 载体 图 像 中 进行 传输 ,这 些 
都 对 国家 安全 和 社会 稳定 产生 了 很 大 的 威胁 。 因 此 ,研究 对 图 像 中 可 能 存在 的 各 种 隐藏 信 
息 进行 有 效 检 测 的 方法 已 经 迫在眉睫 ,基于 图 像 的 信息 隐藏 检测 技术 也 就 成 为 目前 信息 安 
全 领域 的 重要 研究 课题 。 

近 几 年 来 ,世界 各 国 的 信息 安全 专家 在 这 一 方面 进行 了 深入 的 研究 ,并 提出 了 一 定 的 隐 
藏 信息 检测 模型 ,开发 了 相关 的 信息 隐藏 检测 软件 ,如 美国 著名 的 信息 安全 产品 开发 公司 
Wetstone 开发 的 信息 隐藏 检测 软件 Stego 套件 。 其 中 ,Stego Watch 是 一 套 隐藏 信息 自动 
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扫描 软件 ,基本 包括 了 所 有 常见 图 像 格式 和 WAYV 声音 格式 文件 的 检测 能 力 ; Stego 
Analyst 是 一 款 图 像 分 析 处 理工 具 , 针 对 Stego Watch 发 现 的 可 疑 图 像 ,从 视觉 上 进行 细微 
的 分 析 ; Stego Break 是 一 套 隐 藏 信息 破解 软件 ,以 字典 攻击 的 方式 破解 出 一 些 最 常用 的 隐 
藏 信息 工具 埋藏 于 图 片 中 的 信息 ,支持 对 JP Hide & Seek、F5、JSteg、Camouflage 等 信息 隐 
藏 软件 的 破解 。 

StegDetect 是 一 款 免费 的 隐藏 检测 软件 ,通过 统计 测试 方法 检测 JPEG 图 像 中 是 否 被 
隐 写 ,以 及 可 能 使 用 了 何 种 隐 写 软件 ,如 JSteg、JPHide、OutGuess、 Invisible Secrets、F5、 
appendX 和 Camouflage 等 。 

Stegdetect 的 主要 选项 t 用 来 设置 要 检测 哪些 隐 写 工具 ,可 设置 的 选项 如 下 : 

j 一 一 检测 图 像 中 的 信息 是 否 是 用 jsteg 嵌入 的 。 

o 一 一 检测 图 像 中 的 信息 是 否 是 用 outguess 岩 和 的 。 

p 一 一 检测 图 像 中 的 信息 是 否 是 用 jphide 岩 入 的 。 

i 一 一 检测 图 像 中 的 信息 是 否 是 用 invisible secrets 和 能 入 的 。 

如 果 检 测 结果 显示 该 文件 可 能 包含 隐藏 信息 , 那 
么 Stegdetect 会 在 检测 结果 后 面 使 用 1 一 3 颗 星 来 标 
识 隐藏 信息 存在 的 可 能 性 大 小 ,3 颗 星 表示 隐藏 信息 
存在 的 可 能 性 最 大 。 

图 3-12 对 于 指定 目录 下 的 所 有 JPG 文件 进行 检 
测 , 其 中 一 幅 图 像 没有 隐藏 信息 ,其 余 四 幅 图 像 通过 。 图 3.12 免费 的 检测 软件 Steedetect 
jphide 隐藏 了 信息 。 


语言 交流 是 最 基本 、 最 方便 的 通信 方式 。 早 期 无 线 电 语音 通信 使 用 的 防 泄密 手段 主要 
是 密语 。 为 了 实现 密语 通话 ,需要 事先 把 可 能 用 到 的 词汇 编写 成 密语 本 ,由 话务员 熟练 记 
忆 , 正 式 通信 时 现场 翻译 。 密 语 通 信使 用 方便 ,实时 性 强 , 但 密语 中 多 少 总 要 保留 一 些 自 
然 语 言 的 结构 ,仔细 分 析 便 能 猜 出 其 中 的 意思 ,所 以 只 能 用 在 保密 时 效 短 、 保 密 等 级 低 的 
场合 。 

人 的 原始 语音 信号 是 一 种 模拟 信号 。 受 技术 条 件 的 限制 ,早期 的 保密 电话 和 电台 语音 
加 密 都 直接 针对 模拟 信号 ,通过 改变 语音 信号 的 时 间 、 频 率 、 幅 度 特征 使 原来 的 话 听 不 懂 。 
例如 把 语音 的 频谱 划分 成 若干 个 子 带 , 重 新 排列 它们 的 次 序 以 达到 置 乱 的 效果 。 这 种 模拟 
加 密 体制 的 音质 差 ,保密 强度 低 , 用 专门 的 分 析 仪 器 可 以 破译 ,甚至 经 过 特殊 训练 的 话务员 
还 能 直接 听 懂 部 分 模拟 加 密 后 的 语音 。 

随 着 将 模拟 信号 转换 成 数字 信号 再 加 密 的 新 技术 的 出 现 ,语音 加 密 的 音质 、 强 度 、 实 用 
性 都 大 为 改观 。20 世纪 50 年 代 苏 联 研制 的 声 码 器 保密 电话 ,是 一 台 用 了 大 量 电子 管 、 代 价 
昂贵 的 庞然大物 ,如 今 装 在 移动 电话 里 的 同样 的 保密 机 只 用 了 一 个 小 芯片 。 

随 着 通信 手段 的 丰富 与 发 展 , 特 别 是 无 线 信道 的 大 量 使 用 ,在 通信 过 程 中 ,收发 双方 交 
换 的 敏感 信息 被 第 三 者 感知 的 可 能 性 大 大 增加 。 针 对 敌 方 可 能 采用 的 截 收 、 窃 听 、 破 译 , 假 
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冒 、 侦 听 、 测 向 手段 , 跳 频 技术 、 扩 频 技术 的 应 用 成 为 无 线 电 通信 防 泄密 的 重要 方向 。 当 频带 
宽度 扩展 了 数 倍 至 数 千 倍 后 ,信息 将 淹没 在 一 片 噪声 中 ,从 而 实现 以 隐蔽 方式 对 抗 无 线 电 侦 
听 和 干扰 。 

与 过 去 相 比 ,现在 通信 保密 的 技术 .手段 .措施 ,应 用 环境 和 使 用 要 求 都 发 生 了 很 大 的 变 
化 : 从 过 去 单一 的 电报 加 密 发 展 到 电话 传真、 图 像 、 电 视 会 议 等 多 种 媒体 加 密 ; 从 单一 的 
无 线 电 加 密 发 展 到 有 线 .无线 、 卫 星 \ 微 波 、 散 射 等 多 种 信道 加 密 ; 从 原始 的 手工 密码 发 展 到 
采用 机 械 设备 ,电子 设备 ,计算机 进行 加 密 作 业 ; 从 点 对 点 保密 通信 发 展 到 网 络 化 保密 通 
信 , 并 出 现 了 通信 保密 技术 与 信息 安全 技术 相 融合 的 一 体 化 趋势 。 


3.3.1 窃听 与 反 窃听 


窃听 是 指使 用 专用 设备 直接 窃取 目标 的 话音 、 图 像 等 信息 ,从 中 获得 情报 的 一 种 手段 。 
随 着 科学 技术 的 不 断 发 展 ,窃听 的 含义 早已 超出 隔 墙 偷 听 、 截 听 电 话 等 , 它 借助 于 技术 设备 
和 手段 ,不 仅 窃取 语音 信息 ,还 窃取 数据 、 文 字 、 图 像 等 信息 。 
闪 听 技术 是 窃听 行动 所 使 用 的 窃听 设备 和 和 欠 听 方法 的 总 称 , 它 包括 窃听 器 材 ,窃听 信号 
的 传输 、 保 密 、 处 理 , 窃 听 器 的 安装 ,使 用 以 及 与 窃听 相配 合 的 信号 截 收 等 。 
反 窃 听 技术 是 指 发 现 ` 查 出 窃听 器 并 消除 窃听 行动 的 技术 。 
防 窃听 则 是 对 抗 敌 方 窃听 活动 ,保护 已 方 秘密 的 行为 和 技术 手段 。 在 可 能 被 窃听 的 情 
况 下 ,使 窃听 者 得 不 到 秘密 信息 的 防范 措施 。 
窃听 技术 的 内 涵 非 常 广泛 ,特别 是 高 档次 的 窃听 设备 或 较 大 的 窃听 系统 ,包括 了 诸如 信 
号 的 隐藏 和 加 密 技 术 、 信 号 调制 与 解 调 技术 、 网 络 技术 ,信号 处 理 .语言 识别 、 微 电子 、 光 电子 
技术 等 现代 科学 技术 的 很 多 领域 。 
窃听 手段 包括 声音 窃听 .电话 窍 听 和 无 线 电波 窍 听 。 针 对 不 同 的 窍 听 手段 .也 有 针 锋 相 
对 的 反 窃 听 技 术 。 
1. 声音 窃听 一 一 直接 窃听 法 
声音 窃听 是 一 种 古老 的 方法 , 它 直 接 拾 取 从 空气 中 传 来 的 声波 从 而 获得 谈话 内 容 。 直 
接 窃听 法 包括 专线 话 简 窃 听 和 无 线 窃 听 ,间接 窃听 法 包括 口 型 分 析 法 .激光 窃听 法 和 微波 窃 
听 法 。 
1) 专线 话筒 窃听 
随 着 现代 声音 窃听 技术 的 发 展 ,出 现 了 许多 类 似 人 耳 功 能 的 “ 电 耳 条”。 它 们 有 的 像 黄 
豆 粒 或 针尖 那么 小 ,有 的 做 成 和 电源 插座 一 样 , 拾 音 范围 都 在 10m 以 上 , 连 写字 的 声音 都 能 
听 得 一 清二 楚 。 把 它们 埋设 在 墙壁 里 或 房间 内 ,然后 用 一 对 导线 将 信号 引出 ,窃听 者 就 能 听 
到 室内 的 谈话 ,也 可 以 用 录音 机 记录 。 这 种 窃听 方式 叫 作 专 线 话 简 窃听 。 
“ 电 耳 杂 ” 的 埋设 方式 要 巧妙 隐蔽 ; 有 的 窃听 话 
简 被 安装 在 墙 面 的 自然 裂缝 里 ; 有 的 把 连接 话 简 与 
放大 器 或 录音 机 的 金属 导线 沿 着 建筑 物 的 钢 骨 架 或 
其 他 金属 管道 敷设 ,在 容易 被 肉眼 察觉 的 地 方 则 使 


一 、 用 导电 油漆 代替 导线 。 
图 3-13 是 在 冷战 时 期 ,美国 驻 东 欧 大 使 馆 发 现 


图 3-13 窃听 装置 : 电磁 传声器 的 电磁 传声器 ,与 扩 音 器 相连 的 长 木管 能 让 它 隐藏 
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在 墙壁 内 ,通过 木管 尾部 的 小 针 孔 偷 听 房 间 里 的 谈话 。 

由 于 专线 话 简 窃听 系统 隐 项 、 耐 用 ,效果 好 ,间谍 把 它 作 为 窃听 的 主要 工具 。 据 美国 反 
间谍 机 关 的 档案 记载 ,1960 年 以 前 ,在 美国 驻 苏 联 的 大 使 馆 内 查获 了 130 多 个 窃听 器 。 
1964 年 春 , 美 国 的 反 窃 听 专 家 又 在 大 使 馆 大 楼 的 内 墙 里 挖 出 了 40 个 专线 话 简 。 原 来 ,1953 
年 苏联 政府 在 帮助 美国 大 使 馆 进 行 大 楼 改建 时 ,就 把 这 个 专线 话 简 穷 听 网 安装 了 进去 。 就 
这 样 ,美国 驻 苏联 大 使 馆 在 毫 无 察觉 的 情况 下 ,向 苏联 克格勃 “义务 ”提供 了 10 年 的 情报 。 

如 图 3-14 所 示 的 是 在 美国 华盛顿 “国际 
间谍 博物 馆 ” 中 展 出 的 从 第 二 次 世界 大 战 末 
期 到 现在 的 窃听 装置 。 从 中 可 以 看 出 ,间谍 
使 用 的 窃听 装置 的 体积 越 来 越 小 。 

对 付 专线 话 简 窃听 ,最 简单 的 办 法 就 是 

用 肉眼 看 。 细 心 检查 墙 上 是 否 有 裂 颖 和 小 
孔 , 因 为 窃听 话 简 都 要 靠 通 向 室内 的 洞 眼 拾 
取 声 音 。 而 对 于 那些 隐藏 在 墙壁 深 处 的 金属 。” 图 3-14 国际 间谍 博物 馆 中 展示 的 窃听 装置 
话 简 或 电源 线 , 可 以 用 金属 探测 器 进行 搜索 。 
1964 年 ,联邦 德国 反 窃听 电子 专家 赫 斯 特 ， 舍 维尔 克 曼 以 外 交 官 的 身份 到 达 联 邦 德国 驻 葛 
斯 科大 使 馆 。 他 很 快 就 用 金属 探测 器 查 出 了 克格勃 所 埋设 的 专线 话 简 穷 听 网 。 舒 维尔 克 曼 
每 查 到 一 个 窃听 器 ,就 用 自己 发 明 的 仪器 向 话 简 窃听 线路 里 送 进 高 压 电 脉 冲 , 把 正 戴 着 耳机 
窃听 的 克格勃 人 员 电 得 像 被 开水 烫 到 的 活 是 一 样 乱 跳 。 

2) 无 线 窃听 

无 线 窃 听 器 体积 小 .重量 轻 ,不 需要 敷设 传输 导线 ,可 以 在 一 个 地 区 布设 若干 个 ,用 一 个 
接收 机 进行 接收 。 它 还 可 以 做 成 子弹 .炮弹 ,发 射 到 敌人 阵地 里 侦察 动向 。 正 因为 如 此 ,无 
线 窃 听 器 已 经 成 为 窃听 最 主要 的 工具 。 

随 着 微 电 子 技术 的 发 展 ,无 线 窃 听 技 术 水 平 得 到 了 空前 提高 。 

首先 ,无线 窃听 器 体积 的 微型 化 程度 越 来 越 高 。 有 的 无 线 窃听 器 仅 一 粒 米 大 小 ,伪装 起 
来 也 更 加 巧妙 ,窃听 器 可 以 隐藏 在 钢笔 手表、 打火机 、 鞋 跟 中 ,甚至 人 的 器 官 也 成 了 无 线 窃 
听 器 材 的 安装 场所 。 日 本 就 发 生 过 这 样 一 件 事 : 一 家 银行 为 窃取 某 公司 的 财务 情报 ,指使 
一 名 牙科 医生 利用 该 公司 会 计 师 镶 牙 的 机 会 ,把 一 个 微型 窃听 器 锐 在 他 的 假牙 中 ,结果 没 几 
4 天 功夫 ,这 家 银行 就 把 会 计 室 里 谈论 的 秘密 事项 全 部 截 
区 了 。 

如 图 3-15 所 示 的 树桩 窃听 器 依靠 太阳 能 ,于 20 世纪 70 
年 代 初 期 在 莫斯科 附近 的 森林 地 带 不 间断 从 事 窃听 。 它 截 
获 了 往来 于 苏联 在 该 地 区 的 空军 基地 的 通信 信号 ,将 信号 
发 送 给 一 颗 卫 星 , 青 由 卫星 将 情报 转发 给 美国 境内 的 情报 
分 析 中 心 。 由 于 依靠 太阳 能 驱动 ,树桩 窃听 器 就 不 存在 更 
换 电 池 的 必要 性 。 

其 次 ,窃听 器 的 自我 保护 功能 大 大 加 强 。 档 次 高 的 无 
线 窃 听 器 大 多 有 遥控 功能 , 当 发 现 有 人 检查 窃听 器 时 ,可 以 
图 3-15 树桩 窃听 器 让 窃听 器 停止 工作 。 有 的 窃听 器 还 采取 了 加 密 措 施 ,加 密 
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后 的 无 线 电 信号 ,一旦 被 搜索 到 也 只 是 一 片 噪声 或 交流 声 , 难 以 判断 是 否 是 无 线 窃听 器 发 出 
的 信号 。 有 的 还 把 无 线 窃听 器 做 成 枪弹”, 用 特制 的 枪械 射 到 目标 住所 的 窗 框 上 或 墙壁 上 ， 
窃听 器 有 吸附 装置 ,可 以 牢固 地 吸附 在 物体 上 ,安装 方便 也 很 隐蔽 ,不 易 被 人 察觉 。 

德国 PK 电子 器 材 公 司 公开 出 售 的 一 种 微型 无 
线 窃听 器 只 有 6g, 用 一 节 1. 5V 的 纽扣 电池 可 连续 
工作 12 小 时 。 它 的 体积 很 小 ,通过 如 图 3-16 所 示 
的 便携 式 窃听 手枪 将 其 射 到 房间 的 窗户 旁 ,使 其 牢 
固 贴 附 在 墙 上 ,可 以 把 窃听 到 的 谈话 声 用 无 线 电波 
发 送 到 一 二 百 米 外 。 
图 3-16 ”便携 式 窃听 手枪 下 面 是 两 个 无 线 窍 听 的 例子 一 一 会 偷 听 的 “ 鸟 

枪 ” 和 鞋 跟 里 的 “间谍 ”。 


(1) 会 偷 听 的 “ 鸟 枪 ”。 

在 某国 的 一 个 公园 内 ,游客 们 散步 骑马、 划船 ,尽情 享受 大 自然 的 恩赐 。 在 湖 边 的 灌木 
丛 中 ,一枝 乌 黑 的 “ 鸟 枪 ? 架 在 三 脚 架 上 , 枪 口 始终 瞄 着 湖 心 的 一 条 划 艇 , 那 上 面 有 对 似乎 在 
热恋 中 的 男女 正在 交谈 。 守 在 “ 鸟 枪 ? 旁 的 两 个 男子 则 聚精会神 地 戴 着 耳机 。 直 到 划 艇 上 的 
男女 上 了 岸 ,两 个 男子 才 收 起 * 鸟 枪 ?悄悄 离 去 。 原 来 ,他 们 是 该 国 反 间 谍 机 关 的 侦探 。 利 用 
“ 鸟 枪 ”, 他 们 偷 听 了 男女 间谍 在 划 艇 上 的 全 部 对 话 。 

这 里 的 “ 鸟 枪 ” 是 一 种 “追捕 ”声音 的 设备 一 一 远 距 离 定向 话 简 窃 听 器 。 借 助 这 种 窃听 
器 ,可 以 听 到 几 百 米 甚至 更 远 的 声音 。 它 的 工作 原理 和 扩 音 机 的 原理 差不多 ,只 是 其 话 简体 
积 要 小 得 多 .灵敏度 要 高 得 多 。“ 鸟 枪 ” 枪 管 上 有 规律 地 开 有 许多 小 孔 , 当 声波 从 正 前 方 传 来 
时 ,经 过 小 孔 进入 枪 管 就 会 增强 ,而 当 其 他 声波 从 枪 管 两 侧 传 来 时 , 穿 过 小 孔 就 会 互相 抵消 。 
远 距 离 定 向 话 简 窃听 器 还 有 做 成 抛物 面 形 或 喇叭 形 的 ,主要 设立 在 两 国 对 峙 的 边界 线 或 军 
事 分 界线 上 。 

(2) 鞋 跟 里 的 “间谍 ”。 

一 天 早晨 ,某国 大 使 馆 的 保安 人 员 用 无 线 电 搜索 机 做 例 行 检查 时 ,突然 收 到 了 大 使 同 别 
人 的 谈话 声 。 根 据 电 波 的 方向 ,保安 人 员 来 到 大 使 的 办 公 室 , 递 上 一 张 纸 条 :“ 请 您 走出 办 
公 室 并 继续 谈话 ,但 是 要 小 心 讲话 的 内 容 , 因 为 您 正在 被 窃听 .” 大 使 走出 办 公 室 ,但 搜索 机 
里 仍然 响 着 他 的 声音 。 这 说 明 窃 听 器 就 在 大 使 身上 。 保安 人 员 围 着 大 使 检查 了 好 久 , 直 到 
最 后 脱 下 了 他 的 皮鞋 才 发 现 ,原来 窃听 器 就 藏 在 大 使 的 皮鞋 后 跟 里 。 

大 使 皮鞋 里 的 窃听 器 是 一 种 无 线 窃听 器 ,如 图 3-17 
所 示 。 它 所 窃取 的 声音 是 通过 无 线 电波 传送 到 窃听 接 
收 机 的 。 在 无 线 窃听 器 里 ,除了 有 话 简 , 还 有 把 微弱 信 
号 功率 放大 的 电子 线路 以 及 发 射 天 线 和 电池 。 

2. 声音 窃听 一 一 间接 窃听 法 

以 上 的 方法 都 是 直接 穷 听 , 还 有 一 些 间 接 窃听 的 
方法 ,如 口 型 分 析 法 、 激 光 窃 听 法 和 微波 窃听 法 。 

1) 口 型 分 析 法 

在 有 些 场合 下 能 够 看 到 讲话 者 却 听 不 见 他 的 声 
音 , 这 时 就 可 以 用 带 有 长 焦距 的 摄像 机 拍 下 讲话 者 的 图 3-17 鞋 跟 窃 听 器 
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口 型 和 手势 ,然后 用 口 型 分 析 法 “看 出 ”他 的 声音 。 事 实 上 ,许多 仪 哑 人 就 是 用 这 种 方法 来 理 
解 别人 的 语言 内 容 的 。 对 于 一 个 长 期 接受 这 方面 训练 的 特工 来 说 ,同样 可 以 做 到 。 有 时 几 
个 特工 合作 ,甚至 能 把 讲话 内 容 一 字 不 差 地 还 原 出 来 ,他 们 被 称 为 层 读 间谍 ”。 

2) 激光 窃听 法 

激光 窃听 法 则 是 利用 激光 发 生 器 产生 一 东 极 细 的 激光 , 射 到 被 窃听 房间 的 玻璃 上 。 当 
房 内 有 人 谈话 时 , 窗 玻璃 会 随 声波 发 生 轻 微 震 动 , 而 玻璃 同时 又 能 对 激光 有 一 定 的 反射 效 
应 。 如 果 用 一 东 激 光 发 射 到 玻璃 窗 上 ,室内 的 谈话 声 就 会 在 反射 回来 的 激光 中 反映 出 来 ,经 
过 激光 接收 器 的 接收 ,再 经 过 解 调 放大 ,就 能 将 室内 的 谈话 声音 录制 下 来 。 这 种 窃听 器 最 大 
的 优点 是 不 需要 在 目标 房 内 安装 任何 东西 ,作用 距离 可 达 300 一 500m。 图 3-18 是 激光 窃听 
系统 示意 图 ,图 3-19 是 激光 窃听 装置 。 


图 3-18 激光 窃听 系统 图 3-19 激光 窃听 装置 


在 海湾 战争 中 ,美国 人 就 曾 使 用 了 激光 窃听 技术 ,从 伊拉克 高 级 将 领 座 车 的 反光 镜 上 ， 
窃听 到 了 车 内 的 谈话 内 容 。 

3) 微波 窃听 法 

有 些 物 体 如 玻璃 .空心 钢管 等 被 制 成 一 定形 状 后 , 既 能 对 说 话 的 声波 有 良好 的 振动 效 
果 , 又 能 对 微波 有 良好 的 反射 效应 。 一 些 情报 机 构 利 用 物体 的 这 种 特性 ,进行 微波 窃听 。 如 
果 把 这 种 物体 巧妙 地 放 在 目标 房 内 ,在 一 定 距离 外 向 它们 发 射 微波 ,这 些 物体 反射 回来 的 微波 
中 就 会 包含 房 内 话音 的 成 分 ,用 微波 接收 机 接收 并 解 调 后 ,就 能 获得 目标 在 房 内 讲话 的 内 容 。 

微波 窃听 法 的 原理 同 激光 窃听 法 比较 相似 ,但 微波 的 方向 性 不 如 激光 那样 强 , 它 的 反射 
波 在 一 定 区 域内 都 可 以 收 到 ,所 以 窃听 者 可 以 躲藏 在 被 窃听 房间 周围 的 许多 地 方 。1945 
年 ,莫斯科 向 美国 大 使 哈里 曼 赠送 了 一 件 珍 贵 的 礼物 一 一 一 个 雕刻 非常 精致 的 美国 国徽, 如 
图 3-20 所 示 。 哈 里 曼 把 国徽 悬挂 在 书房 里 ,他 总 是 习惯 在 这 里 和 人 密谈 。 哈 里 曼 并 不 知道 
国徽 里 藏 了 一 个 微波 反射 器 ,声波 会 激 起 它 的 振动 。 苏 联 特工 就 在 与 美国 使 馆 一 街 之 隔 的 
房子 里 向 国徽 发 射 比 较 强 的 微波 ,同时 用 一 个 灵敏 度 很 高 的 微波 接收 机 接收 反射 回来 的 微 
波 , 从 而 窃听 美国 大 使 在 书房 里 的 谈话 。 这 个 秘密 活动 一 直到 1952 年 才 被 发 现 。 

3. 无 线 窃听 的 预防 

为 了 预防 无 线 窃 听 ,一 些 国家 的 重要 机 构 专门 采用 一 种 ”笼子 "办公室 来 谈论 机 密 。 所 
谓 * 笼 子 ”, 就 是 安装 在 房间 中 央 的 一 个 特制 的 小 房间 , 它 的 四 周 用 金属 网 屏蔽 ,地 板 用 绝缘 
体 隔绝 ,照明 电 也 经 过 滤波 ,以 防止 电波 进入 或 泄 出 。“ 笼 子 " 内 部 没有 任何 装饰 ,家 具 都 是 
透明 的 ,一 放 窃听 器 就 露馅 。 
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图 3-20 国 微 中 的 微波 窃听 器 


使 用 灵敏 度 较 高 的 无 线 电 全 波 侦 测 接收 机 能 检查 无 线 窃听 ,包括 无 线 窃听 报警 器 .无线 
窃听 器 探测 仪 _ PN 结 探测 器 。 

1) 无 线 窃听 报警 器 

超 小 型 无 线 窃听 报警 器 ,实质 是 一 种 袖珍 式 场 强 计 ,如 图 3-21 所 示 。 当 最 近 的 无 线 发 
射 机 在 任何 频率 上 工作 时 ,报警 器 发 出 闪光 信号 或 产生 轻微 的 震动 。 这 种 报警 器 体积 很 小 ， 
携带 方便 ,可 以 伪装 在 各 种 日 常用 品 中 ,如 香烟 笔记本、 手表 笔架 等 。 缺 点 是 任何 当地 无 
线 电台 的 电磁 场 都 可 能 引起 它 的 报警 ,容易 产生 虚报 。 

2) 无 线 窃 听 器 探测 仪 

这 种 接收 机 能 在 20kHz 一 1000MHz 或 30 一 1500MHz 的 范围 内 进行 全 频段 的 慢 速 扫 
描 或 快速 扫描 ,有 的 接收 机 分 好 几 挡 速度 供 挑 选 。 设 定 速度 后 接收 机 自动 扫描 搜索 , 当 房 内 
有 工作 着 的 无 线 窃 听 器 时 ,接收 机 扫 到 与 窃听 器 工作 频率 相同 的 频率 ,报警 信号 灯亮 并 发 出 
报警 声 。 然 后 用 手持 探测 器 进行 寻找 , 当 探 测 器 接近 窃听 器 所 在 位 置 时 ,声调 发 生变 化 , 表 
示 此 处 隐藏 有 窃听 器 。 这 种 探测 器 通常 装 在 一 个 标准 的 手提 箱 内 ,手提 或 肩 背 都 很 方便 ,如 
图 3-22 所 示 。 


图 3-21 无 线 窃听 报警 器 图 3-22 ”无线 窃听 器 探测 仪 
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3) PN 结 探测 器 

如 图 3-23 所 示 的 是 非 线性 结 探测 器 ,这 种 探测 器 可 探测 不 工作 的 无 线 窃听 器 ,也 可 探 
测 包含 晶体 管 或 集成 电路 块 , 即 含有 PN 结 元 器 件 的 各 种 窃听 器 。 

它 工 作 时 ,发 送 一 个 低 电 平 微波 东 , 当 遇 到 任何 二 
极 管 、 三 极 管 或 集成 电路 等 PN 结 元 器 件 时 ,产生 反射 
波 ,并 在 反射 波 中 出 现 谐 波 分 量 ,可 探测 到 隐藏 到 墙壁 、 
家 具 、 天 花 板 内 几 十 厘米 处 的 窃听 器 。 它 的 缺点 是 如 果 
窃听 器 隐藏 在 电器 中 , 则 探测 器 区 别 不 出 是 窃听 器 中 的 
PN 结 器 件 , 还 是 电器 中 的 PN 结 器 件 。 

4. 激光 窃听 的 预防 

预防 激光 窃听 的 方法 有 很 多 ,从 原理 上 讲 主 要 掌握 
以 下 两 个 要 素 : 防止 激光 射 人 目标 房间 的 窗 玻 璃 上 、 破 
坏 反 射 体 随 声 音 的 正常 振动 。 

具体 方法 有 : 

(1) 在 玻璃 窗外 加 一 层 百叶 窗 或 其 他 能 阻挡 激光 的 物体 。 

(2) 窗 玻璃 改 用 异形 玻璃 ,异形 玻璃 表面 不 平滑 ,不 影响 透 光 , 但 使 散射 回去 的 激光 无 
法 接收 。 

(3) 将 窗 玻璃 装 成 一 定 角度 ,使 入射 的 激光 束 反 射 到 附近 的 地 面 。 

(4) 窗户 配 上 足够 厚 的 玻璃 ,使 之 难以 与 声音 共振 。 

(5) 将 压 电 体 或 电机 的 音频 噪声 源 贴 在 窗 玻璃 上 或 置 于 窗户 的 附近 ,使 噪声 附加 在 反 
射 光束 上 。 

(6) 谈话 时 室内 放 录 音 ( 最 好 是 在 公共 场所 录 的 嘲 杂 音 ) ,将 谈话 声 淹没 在 杂 声 中 。 这 
一 措施 对 防止 其 他 手段 的 窃听 也 是 有 用 的 。 

(7) 用 激光 探测 器 探测 室内 是 否 存 在 激光 ,如 果 室 内 有 超 量 的 激光 强度 时 就 发 出 警报 信号 。 

如 图 3-24 所 示 的 防 激 光 窃 听 干 扰 器 可 产生 频带 、 强 度 可 调 的 随机 混合 声波 ,对 谈话 现 
场 声 波 引起 的 玻璃 振动 进行 掩蔽 干扰 , 阻 断 窃听 源 , 确 保重 要 房间 内 话音 内 容 不 会 遭受 激光 
窃听 干扰 器 的 窃 收 。 


图 3-23 非 线性 结 探测 器 


(a) 防 激光 窃听 干扰 器 (b) 安装 效果 
图 3-24 ” 防 激光 窍 听 干 扰 器 (玻璃 振动 干扰 ) 
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5. 电话 窃听 

电话 窃听 的 手段 很 多 ,常用 的 有 : 

(1) 通过 电话 交换 机 控制 用 户 电话 。 

这 种 电话 窃听 系统 很 大 ,自动 化 程度 很 高 ,只 要 目标 电话 一 使 用 ,监听 设备 立即 起 动 实 
施 窃听 , 始 叫 话机 的 号 码 .通信 的 日 期 和 时 间 也 同时 被 自动 记录 下 来 。 

(2) 利用 电话 线路 的 串 音 窃听 。 

由 于 电话 线 、 变 压 器 或 其 他 线路 元 件 并 置 后 ,电磁 感应 造成 一 路 电话 线 上 可 能 感应 男 一 
路 电话 线 上 的 电话 信和 号。 对 于 技术 质量 比较 差 的 通信 线路 ,如 采用 架空 明 线 或 质量 差 的 通 
信和 电缆 ,有 时 两 条 线路 只 要 有 几 十 厘米 长 的 间隔 相互 平行 ,就 能 产生 足够 强 的 串 音 。 这 种 串 
音 有 时 直接 听 不 出 来 ,但 用 放大 器 放大 便 可 听 清 楚 。 早 期 有 些 国家 的 情报 机 关 利用 这 种 特 
性 设计 制造 串 音 窃听 器 ,提供 给 他 们 秘密 派 往 国外 的 间谍 使 用 。 这 些 间 谍 在 居住 地 把 电话 
串 音 窃听 器 跨 接 在 电话 线 上 ,窃听 与 此 线 平行 的 其 他 线路 里 的 通话 声 。 

随 着 通信 线路 及 通信 设备 质量 的 不 断 提 高 ,特别 是 优质 通信 电缆 及 光纤 电费 替代 了 架 
空 明 线 ,给 串 音 窃 听 增 加 了 困难 。 

(3) 在 电话 系统 里 安装 窃听 器 件 。 

用 得 比较 多 的 是 落 入 式 电话 窃听 器 。 这 种 窃听 器 可 以 当 作 标准 送 话 器 使 用 ,用 户 不 易 
察觉 。 它 的 电源 取 自 电话 线 , 并 以 电话 线 作 天 线 , 当 用 户 拿 起 话机 通话 时 , 它 就 将 通话 内 容 
用 无 线 电波 方式 传输 给 几 百 米 外 的 接收 机 。 这 种 窃听 器 安装 非常 方便 ,从 取 下 正常 的 送 话 
器 到 换 上 窃听 器 ,只 要 几 十 秒 钟 时 间 。 可 以 以 检修 电话 为 由 ,潜入 用 户 室内 安装 或 外 下 这 种 
窗 听 器 。 

还 有 一 种 米粒 大 小 的 窃听 电话 发 射 机 。 将 它 装 在 电话 机 内 或 者 电话 线 上 ,肉眼 观察 很 
难 发 现 。 这 种 窃听 器 平时 不 工作 ,只 有 打 电 话 时 才 工 作 。20 世纪 70 年 代 龙 动 世界 的 美国 
“水 门 事件 ”就 是 使 用 这 类 电话 窃听 器 ,如 图 3-25 所 示 。 


图 3-25 水门 事件 中 的 窃听 器 和 接收 器 


在 架空 明 线 上 安装 两 只 伪装 成 绝缘 瓷 瓶 的 窃听 器 , 跨 接 在 电话 线路 上 ,其 中 一 只 装 
有 窃听 感应 器 发射 机 和 蓄电池 , 另 一 只 装 有 穷 听 感 应 器 和 蓄电池 。 当 线路 上 电话 、 电 
报 、 传 真 信号 经 过 两 个 窃听 感应 器 时 ,将 感应 的 信号 送 到 发 射 机 ,通过 固定 在 架 线 杆 顶 部 
的 天 线 将 信号 发 射出 去 ,被 约 一 千 米 外 的 接收 机 所 接收 。 由 于 蓄电池 是 太阳 能 电源 ,所 
以 能 长 期 使 用 。 
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(4) 利用 电话 系统 的 某 一 部 分 窃听 房 内 谈话 。 

利用 电话 系统 的 某 一 部 分 窃听 房 内 谈话 ,也 是 国外 广泛 使 用 的 一 种 窃听 技术 。 用 得 比 
较 多 的 是 谐 波 窃听 器 , 它 是 一 个 由 音调 控制 的 话 简 形 状 装置 。 窃 听 者 可 以 利用 另 一 部 电话 ， 
对 目标 房间 的 电话 进行 物 控 。 当 目标 电话 中 的 谐 波 窃听 器 收 到 遥控 信号 后 , 便 自动 启动 窃 
听 器 ,窃听 者 就 可 以 在 远离 目标 房间 的 另 一 部 电话 中 ,窃听 目标 房间 的 谈话 内 容 。 

6. 电话 反 窃听 

防 电话 窃听 的 方法 有 : 电话 窃听 报警 器 、 电 话 分 析 仪 采取 语音 保密 技术 等 。 

1) 电话 窃听 报警 器 

电话 窃听 报警 器 可 以 对 装 在 电话 系统 中 的 窃听 器 发 出 报警 信号 。 其 基本 原理 是 测试 电 
话 线 的 线 电压 ,与 正常 的 参数 相 比较 ,如 原 线 电压 为 13V ,分 线 盒 前 或 分 线 盒 后 串 接 窃听 器 
后 , 线 电压 就 降 至 6V ,报警 器 产生 报警 信号 。 这 种 报警 器 除 有 报警 指示 灯 外 ,还 有 数字 读 出 
的 电压 表 。 可 以 24 小 时 监视 电话 系统 ,也 可 连接 录音 机 将 被 窃听 的 话音 记录 下 来 ,如 图 3-26 
所 示 。 

还 有 一 种 防 窃 听 电 话 ,本身 带 有 窃听 报警 装置 。 此 装置 利用 电话 机 中 的 电源 ,对 电话 机 
周围 进行 无 线 电 波 监测 ,一 旦 有 无 线 窃 听 器 工作 , 它 就 发 出 报警 信号 。 这 种 电话 机 外 表 与 普 
通电 话机 一 样 , 不 影响 正常 通话 ,使 用 方便 。 

2) 电话 分 析 仪 

如 图 3-27 所 示 的 电话 分 析 仪 能 够 测试 电话 系统 中 挂钩 或 脱 钧 时 的 阻抗 电压. 电流, 检 
测 有 无 射频 辐射 有 无 谐 波 窃听 器 。 例 如 在 电话 系统 中 任何 地 方 插入 窃听 器 件 时 要 切断 电 
话 线 , 这 时 它 就 会 发 出 报警 信号 。 


0S 


图 3-26 固定 电话 窃听 报警 器 图 3-27 电话 分 析 仪 


3) 采取 语音 保密 技术 

以 上 方式 都 是 被 动 反 窃听 ,在 现实 生活 中 人 们 还 可 以 主动 反 窃 听 , 即 使 用 话音 保密 器 。 

话音 保密 器 是 加 装 在 电话 机 上 的 附属 设备 , 当 人 们 拿 起 电话 通话 时 , 它 会 首先 对 话音 信 
号 进行 加 密 , 再 传输 给 对 方 。 在 对 方 的 话机 上 ,最 先 收 到 信号 的 也 是 保密 器 。 它 把 信号 解密 
后 再 送 入 听 简 里 。 也 就 是 说 ,用 户 虽然 讲 的 是 明 话 ,但 在 线路 上 传递 的 却 是 没 人 能 听 懂 的 密 
语 , 因 而 能 有 效 防止 窃听 。 如 图 3-28 所 示 的 是 布什 总 统 使 用 的 带 有 话音 保密 器 的 防 窃听 电 
话机 。 


106 信息 对 抗 与 网 络 安全 (第 3 版 ) 


目前 还 出 现 了 一 种 “数字 化 话音 保密 通信 ”， 
由 话音 保密 器 把 语音 信号 数字 化 ,然后 将 它们 与 
近似 随机 的 一 串 信号 结合 在 一 起 , 变 成 一 种 似乎 
没有 规律 的 加 密 电 码 , 这 种 方法 非常 适合 现代 战 
争 的 通信 保密 。 

7. 无 线 电波 窃听 

由 于 无 线 通信 是 以 电磁 波 在 空间 传播 的 , 窃 
听 无 线 通信 上 比 窃听 有 线 通信 更 容易 .更 安全 。 因 
此 ,一些 国家 把 窃取 目标 国 的 无 线 通信 秘密 , 作 
为 获取 政治 .军事 、 经 济 、 科 技 情报 的 重要 手段 ， 
不 异 投 入 大 量 的 人 力 、 物 力 和 财力 ,在 全 球 范围 图 3-28 防 窃听 电话 机 
内 ,建立 起 现代 化 的 立体 侦 听 系统 。 

无 线 电波 窃听 的 方法 主要 有 : 

1) 地 面 侦 听 站 

在 本 国 或 外 国 使 领 馆 、 派 出 机 构建 立 大 型 侦 听 基 地 和 侦 听 站 ,在 陆地 截 收 无 线 电 信和 号， 
并 进行 分 析 处 理 , 获 取 情 报 。 

2) 空间 侦察 卫星 

如 图 3-29 所 示 的 空间 侦查 卫星 ,利用 卫星 上 的 电子 侦 听 设备 对 空中 电磁 波 信号 进行 截 
收 。 由 于 卫星 具有 位 置 高 无线 增益 高 .侦察 面积 大 、 飞 行 速度 快 和 侦察 合法 化 等 特点 ,能 成 
功 侦 听 地 面 所 有 强 弱 无 线 电 通信 信号 。 


3-29 ”空间 侦察 卫星 


1996 年 4 月 21 日, 车臣 总 统 杜 达 耶 夫 的 卫星 电话 频率 被 俄 情报 机 构 的 无 线 电 测 向 定 
位 监听 到 ,并 连续 三 次 确定 杜 达 耶 夫 的 通话 位 置 后 ,俄罗斯 立即 发 射 了 空 对 地 导弹 ,准确 击 
中 了 村 的 密 巢 ,误差 仅 几 米 , 杜 当即 丧命 。 

2001 年 11 月 中 旬 ,由 于 反 塔 联盟 攻占 马扎 里 沙 夫 ,塔利班 撤 出 喀布尔 。 这 时 ,美国 的 
间谍 卫星 和 侦察 机 几乎 同时 发 现 ,在 溃败 的 人 群 中 有 一 支 特别 的 部 队 。 当 这 支 特别 的 部 队 
停 驻 在 一 个 小 镇 的 旅店 时 ,美军 司令 部 下 达 了 消灭 目标 的 命令 。 伴 随 着 巨大 的 爆炸 声 ,旅店 
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燃 起 了 熊熊 大 火 。 数 小 时 后 ,美国 中 情 局 从 监视 的 目标 通信 中 截 听 并 破译 了 一 个 从 阿富汗 
发 出 的 卫星 电话 信号 ,得 知 拉登 基地 组 织 的 多 名 高 层 领导 在 这 次 攻击 中 丧生 ,其 中 包括 拉登 
的 副手 阿 提 夫 。 

3) 间谍 船 

通过 在 船上 安装 电子 侦 听 设备 ,在 近海 或 目标 附近 侦 听 截 收 各 种 无 线 电 通信 信号 ， 
此 外 还 可 以 窃取 海底 通信 电缆 的 信号 。 图 3-30 为 美国 “ 普 韦 布 洛 号 ”武装 间谍 船 中 的 侦 
听 设 备 。 


图 3-30 间谍 船 中 的 侦 听 设备 
4) 间谍 飞机 
在 军用 、 民 用 或 无 人 驾驶 飞机 上 安装 先进 的 电子 和 通信 侦 听 设备 , 截 收 空中 电磁 信号 。 
图 3-31 是 著名 的 间谍 飞机 U-2 驾驶 舱 。 


图 3-31 间谍 飞机 


8. 无 线 电波 反 窃听 
防止 窃听 者 截 收 无 线 电 波 是 反 窃听 的 一 项 重要 手段 , 它 的 目的 是 让 窃听 者 的 “ 耳 休 ” 听 
不 到 、 听 不 全 或 听 走 耳 , 包 括 : 
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1) 定向 通信 

无 线 电波 在 空中 传播 时 就 好 像 水 面 激 起 波纹 ,四 面 扩散 。 但 有 些 特殊 形状 的 天 线 和 特 
殊 形式 的 电波 却 只 能 向 一 个 方向 扩散 ,如 定向 性 很 好 的 激光 。 这 样 ,人 们 就 可 以 限制 无 线 电 
波 的 传输 方向 ,只 对 着 已 方 接收 机 发 射 , 让 窃听 的 接收 机 截 收 不 到 。 即 使 窃听 者 掌握 了 目标 
的 通信 方向 ,其 截 收 天 线 势 必 阻 挡 电波 ,导致 通信 中 断 而 无 法 窃听 。 如 图 3-32 所 示 的 是 各 
类 定向 天 线 。 


(a) 螺旋 定向 天 线 (b) 双 极 化 定向 天 线 (0) 栅 格 定向 天 线 
图 3-32 定向 天 线 


2) 快速 通信 

快速 通信 是 指 在 通信 前 ,发 方 和 收 方 同时 做 好 准备 ,突然 将 简要 的 情报 发 出 去 ,窃听 者 
因 毫 无 准备 来 不 及 截 收 。1978 年 ,伊朗 就 发 生 了 一 起 通信 间谍 案 。 伊 朗 陆 军 少将 阿 赫 默 德 
* 葛 格 勒 比 是 克格勃 发 展 的 特务 。 苏 联 大 使 馆 领 事 鲍 里 斯 卡巴 诺 夫 经 常 开 着 小 汽车 经 过 
他 住宅 前 的 马路 。 每 次 进入 马路 路 口 时 ,卡巴 诺 夫 就 按 动 座位 下 的 开关 ,发 出 一 个 无 线 电 遥 
控 信和 号。 信号 打开 莫 格 勒 比 家 中 的 快速 收发 报 机 ,使 其 预先 记录 在 磁带 上 的 情报 快速 发 出 ， 
由 汽车 上 的 接收 机 记录 下 来 。 整 个 过 程 在 卡巴 诺 夫 离 开 这 条 马路 时 完成 。 伊 朗 反 间谍 机 关 
一 直上 暗中 跟踪 卡巴 诺 夫 ,但 每 次 都 觉得 他 没有 “作案 时 间 ”, 况 让 其 在 眼皮 底下 窍 取 了 4 年 的 
情报 。 

3) 跳 频 通信 

一 般 电台 的 工作 频率 是 固定 的 ,窃听 者 找到 这 个 频率 就 可 以 截 收 通信 信号 。 针 对 这 一 
点 ,目前 一 些 国家 采用 频率 捷 变 的 方法 ,通信 时 发 收 双方 的 频率 都 按照 约定 的 规律 同步 快速 
跳 变 ,使 窃听 者 无 法 捕捉 ,即使 偶然 碰 上 一 个 频率 , 它 又 很 快 跳 到 别 的 频率 上 了 。 

4) 伪装 通信 

对 于 窃听 者 来 说 ,如 果 截 收 到 的 无 线 电 波 虚实 难 分 .就 必须 花费 相当 的 精力 和 时 间 去 辨 
别 。 因 此 ,通过 设置 假 电 台 、 使 用 假 信号 、 传 送 假 报 文 等 伪装 通信 手段 ,可 以 迷惑 窃听 者 ,使 
真情 报 因 时 间 延 误 而 失去 价值 ,而 假 情报 又 因 时 间 紧 迫 而 识别 有 误 。 

5) 无 线 电 静 默 

还 有 一 种 在 军事 上 经 常 采用 的 反 电波 窃听 方式 ,就 是 在 重大 军事 行动 开始 前 或 开始 阶 
段 , 突 然 停 止 一 切 无 线 电 通信 联络 ,使 敌 方 侦察 不 到 已 方 情况 。 这 在 战术 手段 上 称 为 无 线 电 
静默 。1941 年 ,日 本 偷袭 珍珠 港 时 ,就 停止 了 突击 舰队 和 大 本 营 的 无 线 电 通信 ,使 庞大 的 舰 
队 在 大 海中 人 不 知 鬼 不 觉 地 航行 了 12 天 。 当 大 批 日 本 舰 载 飞 机 飞 临 珍珠 港 上 空 时 ,美军 才 
如 梦 初 醒 ,躲闪 不 及 。 

9. 小 结 

现代 声音 窃听 技术 还 在 不 断 发 展 ,纳米 技术 、 微 电子 技术 .还 感 技术 .空间 技术 等 高 新 技 
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术 正 促使 它 变 得 更 加 隐蔽 .方便 高效, 成 为 无 孔 不 和 人 的" 顺风耳”。 

反 窃 听 技术 概括 起 来 有 * 四 大 法 宝 ”: 隐蔽 ,不 该 说 的 机 密 绝 对 不 说 ; 加 密 , 使 用 口令 、 
代号 .隐语 、 密 码 .语音 保密 器 等 进行 保密 ; 欺骗 ,用 带 有 假 情 报 的 对 话 、 声 音 、 电 文 、 信 号 来 
掩盖 通信 的 真实 意图 ; 破获 ,如 找 出 窃听 器 ,识破 窃听 的 技术 手段 , 捉 住 暗 藏 的 窃听 者 等 。 
可 以 说 ,当今 世界 上 窃听 和 反 窃 听 的 斗争 也 是 一 场 比 科学 、 比 技术 、 比 智慧 的 较量 。 


3.3.2 模拟 话音 保密 技术 与 数字 话音 保密 技术 


话音 保密 技术 包括 模拟 置 乱 和 数字 加 密 两 大 类 。 模 拟 置 乱 指 对 模拟 话音 所 含 频率 、 时 
间 振幅 进行 处 理 和 变换 ,破坏 话音 的 原 有 特征 , 尽 可 能 使 之 不 留 下 任何 可 以 辨认 的 痕迹 , 达 
到 保密 传输 话音 信号 的 目的 ; 数字 加 密 是 把 话音 模拟 信号 变换 成 数字 信号 ,然后 用 数字 方 
法 加 密 , 保 密 性 比 模拟 加 密 好 。 

1. 模拟 置 乱 技术 

模拟 话音 信息 包含 频率 .时 间 和 振幅 三 大 基本 特征 ,模拟 置 乱 对 这 三 大 特征 进行 某 些 人 
为 的 处 理 和 变动 ,使 原来 的 话音 信号 面目 全 非 ,达到 保密 的 目的 。 单 独 的 置 乱 分 别称 为 频率 
置 乱 、 时 间 置 乱 和 幅度 置 乱 , 如 果 同 时 对 两 个 或 两 个 以 上 的 参数 进行 置 乱 , 则 称 为 二 维 置 乱 
或 多 维 置 乱 。 

1) 频率 置 乱 

频率 置 乱 包 括 频率 倒置 .频带 移 位 、 频 带 分 割 置 乱 等 ,其 作用 是 通过 置 乱 改变 话音 信和 号 
的 瞬时 功率 谱 密度 的 分 布 ,使 得 各 个 话音 的 频谱 特征 与 原始 的 大 相 径 庭 。 

倒 频 器 是 最 早 的 话音 加 密 器 , 它 的 原理 是 把 话音 信号 300 一 3400Hz 的 频谱 反 转 过 来 ， 
即 把 300Hz 一 端的 频谱 移 到 3400Hz 一 端 ,而 把 3400Hz 一 端的 频谱 移 到 300Hz 一 端 。 由 
于 频谱 两 端 成 分 的 偏 移 很 大 ,从 而 形成 不 可 理解 的 话音 信号 ; 但 是 中 间 的 频谱 成 分 偏 移 却 
很 小 ,所 以 仍然 有 相当 一 部 分 话音 信号 是 可 以 理解 的 。 当 窃听 者 制造 出 相同 的 倒 频 器 时 ,这 
种 体制 很 快 就 被 破译 了 。 

现在 一 般 采 用 多 重 倒 频 加 密 的 滚 码 方法 ,如 把 话音 频带 一 分 为 二 ,各 部 分 以 不 同 频率 倒 
置 , 再 把 这 两 部 分 相 加 产生 出 带宽 与 原始 信号 一 样 的 组 合 信和 号。 

2) 时 间 置 乱 

时 间 域 置 乱 指 改变 时 间 单 元 的 先后 关系 ,包括 颠倒 时 段 、. 时 间 单 元 跳动 窗 置 乱 、. 时 间 单 
元 滑动 窗 置 乱 .时间 样 点 置 乱 等 ,造成 奇异 的 话音 组 合 ,使 话音 的 节奏 .能量 、 韵 律 等 发 生 
变化 。 

3) 幅度 置 乱 

幅度 域 署 乱 又 称 为 噪声 掩蔽 ,将 噪声 信号 或 伪 随 机 信号 琶 加 到 话音 信号 上 ,将 其 可 理解 
的 话音 信和 号 掩蔽 起 来 。 

4) 变换 域 置 乱 

变换 域 置 乱 是 获得 高 保密 度 的 有 效 置 乱 技术 ,其 原理 是 将 模拟 信号 变换 成 数字 信和 号 ,做 
数字 加 密 , 然 后 再 还 原 成 模拟 信号 进行 传输 。 变 换 域 置 乱 包 括 扁 球体 置 乱 、 傅 氏 变 换 置 乱 、 
离散 傅 氏 变换 置 乱 .数论 变换 置 乱 等 。 

5) 模拟 置 乱 的 缺点 

模拟 置 乱 不 能 全 部 去 掉 原始 模拟 信号 的 基本 属性 ,保密 性 较 差 , 将 逐渐 被 数字 话音 加 密 
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技术 所 取代 。 

2. 数字 话音 加 密 技 术 

数字 话音 加 密 技 术 是 通常 采用 的 保密 通信 技术 ,具有 较 高 的 保密 性 ,其 特点 是 先 把 原始 
信号 转换 为 数字 信号 ,然后 采用 适当 的 数字 加 密 方法 实现 保密 通信 。 

话音 数码 化 的 方式 可 分 为 直接 数码 化 方式 和 话音 频谱 压缩 编码 方式 两 大 类 。 

1) 直接 数码 化 方式 

直接 进行 编码 , 编 /解码 器 采用 增 量 调制 方式 实现 。 随 着 大 规模 集成 电路 技术 的 发 展 及 
对 增 量 调制 技术 的 深入 研究 ,推出 了 许多 改进 形式 ,如 连续 可 变 斜 率 增 量 调制 (CVSD) 已 成 
为 军事 话音 保密 机 的 主要 数码 化 技术 。 

2) 话音 频谱 压缩 编码 方式 

对 话音 频谱 进行 压缩 后 再 编码 ,如 用 于 短波 波段 的 保密 通信 声 码 器 , 它 是 按 预 定 间 隔 提 
取 并 只 传输 话音 的 主要 特征 ,然后 在 接收 端 利用 这 些 特 征 恢复 出 话音 。 


3.3.3 扩展 频谱 与 无 线 通信 保密 技术 


扩 频 技术 的 历史 可 以 追溯 到 20 世纪 50 年 代 中 期 ,其 最 初 的 应 用 包括 军事 抗 干扰 通信 、 
导航 系统 等 。 直 到 20 世纪 80 年 代 初 , 扩 频 技术 仍然 主要 应 用 在 军事 通信 和 保密 通信 中 ,这 
种 状况 到 了 20 世纪 80 年 代 中 期 才 得 到 改变 。 美 国联 邦 通信 委员 会 (FCC) 于 1985 年 5 月 
发 布 了 一 份 关于 将 扩 频 技术 应 用 到 民用 通信 的 报告 ,从 此 , 扩 频 通信 技术 获得 了 更 加 广阔 的 
应 用 空间 。 

扩 频 技术 最 初 在 无 绳 电话 中 获得 成 功 应 用 ,因为 当时 已 经 没有 可 用 的 频段 供 无 绳 电话 
使 用 了 ,而 扩 频 通信 技术 允许 与 其 他 通信 系统 共用 频段 ,所 以 扩 频 技术 在 无 强 电 话 的 通信 系 
统 中 获得 了 其 在 民用 通信 系统 中 应 用 的 第 一 次 成 功 经 历 。 而 真正 使 扩 频 通信 技术 成 为 当今 
通信 和 领域 研究 热点 的 是 码 分 多 址 (CDMA) 的 应 用 。 

扩 频 技术 为 共享 频谱 提供 了 可 能 ,使 用 扩 频 技术 能 够 实现 码 分 多 址 , 即 在 多 用 户 通信 系 
统 中 所 有 用 户 共 享 同一 频段 ,但 是 通过 给 每 个 用 户 分 配 不 同 的 扩 频 码 实现 多 址 通信 。 利 用 
扩 频 码 的 自 相关 特性 能 够 实现 对 给 定 用 户 信 号 的 正确 接收 ; 将 其 他 用 户 的 信号 看 作 干 
扰 , 利 用 扩 频 码 的 互相 关 特 性 ,能 够 有 效 抑制 用 户 之 间 的 干扰 。 此 外 由 于 扩 频 用 户 具有 
类 似 白 噪声 的 宽带 特性 , 它 对 其 他 共享 频段 的 传统 用 户 的 干扰 也 达到 最 小 。 由 于 采用 
CDMA 技术 能 够 实现 与 传统 用 户 共享 频谱 ,因此 它 也 就 成 为 个 人 通信 业务 (PCS) 首 选 的 多 
址 方案 。 

1. 扩展 频谱 技术 

扩 频 通信 的 理论 基础 是 香农 定理 : C 二 WLogs (1 十 S/N)。 

式 中 ,C 为 信道 容量 ,W 是 传输 带宽 ,S/N 是 信号 功率 /噪声 功率 。 

在 信息 速率 一 定时 ,可 以 用 不 同 的 信号 带宽 和 相应 的 信 噪 比 来 实现 传输 , 即 信号 带宽 越 
宽 , 信 品 比 可 以 越 低 , 其 至 在 信号 被 噪声 淹没 的 情况 下 也 可 以 实现 可 靠 通信 。 因 此 ,将 信和 号 
的 频谱 扩展 ,可 以 实现 低 信 品 比 传输 .并 且 可 以 保证 信号 传输 有 较 好 的 抗 干 扰 性 和 较 高 的 保 
密 性 。 
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2. 频谱 扩展 的 主要 方式 

频谱 扩展 的 方式 主要 有 以 下 几 种 : 

(1) 直接 序列 扩 频 (Direct Sequence Spread Spectrum,DSSS) ,使 用 高 速 伪 随机 码 对 要 
传输 的 低速 数据 进行 扩 频 调制 ; 

(2) 跳 频 (Frequency Hopping), 利 用 伪 随 机 码 控制 载波 频率 在 一 个 更 宽 的 频带 内 
变化 ; 

(3) 跳 时 (Time Hopping) ,数据 的 传输 时 隙 是 伪 随 机 的 ; 

(4) 宽带 线性 调频 (Chip Modulation) ,频率 扩展 是 一 个 线性 变化 的 过 程 。 

以 上 方法 中 最 常用 的 是 直接 序列 扩 频 和 跳 频 。 一 般 而 言 , 跳 频 系统 主要 在 军事 通信 中 
对 抗 故意 干扰 ,在 卫星 通信 中 用 于 保密 通信 ; 而 直接 序列 扩 频 则 主要 是 一 种 民用 技术 ， 
CDMA 系统 在 移动 通信 中 的 应 用 已 成 为 扩 频 技术 的 主流 ,已 经 在 第 二 代 移 动 通信 系统 
(2G) 的 应 用 中 取得 了 巨大 的 成 功 , 在 目前 所 有 建议 的 第 三 代 移 动 通信 系统 (3G) 标 准 中 ( 除 
了 EDGE) ,都 采用 了 某 种 形式 的 CDMA。 

3. 直接 序列 扩 频 技术 

直接 序列 扩 频 使 用 伪 随 机 码 (PN Code) 对 信息 比特 进行 模 2 加 操作 ,得 到 扩 频 序列 , 然 
后 使 用 扩 频 序列 去 调制 载波 发 射 , 由 于 PN 码 通 常 比 较 长 ,因此 发 射 信号 在 比较 低 的 功率 下 
可 以 占用 很 宽 的 功率 谱 , 即 实现 宽带 低 信 噪 比 传输 。PN 码 的 长 度 决 定 了 扩 频 系统 的 扩 频 
增益 ,而 扩 频 增益 又 反映 了 一 个 扩 频 系统 的 性 能 。 

直接 序列 扩 频 系统 的 解 扩 与 常规 无 线 通 信和 解 调 方式 完全 不 同 。 在 接收 端 ,接收 信号 经 
过 放大 混 频 后 ,经 过 与 发 射 端 相同 且 同 步 的 PN 码 进行 相关 解 扩 ,从 扩 频 信号 中 恢复 出 窄带 
信号 ,再 对 窄带 信号 进行 解 调 , 解 出 原始 信息 序列 。 

就 无 线 传 输 方式 来 说 ,传统 的 窄带 征 波 传输 由 于 抗 干 扰 性 、 保 密 性 .可 靠 性 、 频 率 占用 、 
传输 带宽 等 多 方面 的 问题 ,已 经 很 难 适 应 现代 信息 技术 的 要 求 ,而 扩 频 通信 技术 的 发 展 和 应 
用 及 时 有 效 地 为 这 个 问题 提供 了 解决 手段 。 

现代 通信 的 新 领域 ,包括 数字 蜂窝 移动 通信 ,专用 网 络 通信 、 室 内 无 线 通 信 、`CDMA 移 
动 通信 无线 局 域 网 .无 线 广域网 “蓝牙 ”传输 技术 等 都 是 基于 扩 频 通信 体制 的 通信 方式 。 

目前 ,应 用 了 扩 频 通信 技术 的 通用 产品 主要 有 两 类 ,一 是 扩 频 无 线 调制 解 调 器 ,二 是 专 
门 提供 无 线 网 络 连 接 的 无 线 网 桥 、 无 线 网 卡 、 无 线路 由 器 。 

无 线 调制 解 调 器 能 够 提供 透明 的 数据 通道 ,根据 需要 配置 终端 设备 ,可 以 支持 多 种 数据 
业务 ,如 话音 、 数 据 、 网 络 、 图 像 等 。 由 于 技术 原因 限制 ,还 不 能 实现 真正 的 话音 点 对 多 点 业 
务 , 基 本 上 都 是 依赖 系统 的 释 加 来 实现 的 。 对 于 单独 的 数据 业务 或 网 络 连 接 , 如 果 数 据 延 时 
没有 特别 严格 的 要 求 ,可 以 采用 轮 询 方式 传输 。 

无 线 网 络 类 产品 基本 可 以 分 为 两 类 ,一 类 是 基于 802. 11 无 线 网 络 协议 标准 的 无 线 网 络 
产品 , 另 一 类 是 基于 各 个 厂商 传输 标准 的 无 线 网 桥 或 无 线路 由 器 。 它 们 都 提供 了 高 速 的 无 
线 网 络 连 接 , 可 以 广泛 应 用 于 点 对 点 或 点 对 多 点 无 线 局 域 网 、 无 线 广 域 网 连接 或 宽带 无 线 
接 入 。 

无 线 网 络 产品 是 扩 频 通信 技术 在 数据 通信 和 领域 的 一 个 典型 应 用 ,充分 发 挥 了 扩 频 通信 
技术 的 各 种 优越 性 ,为 现代 网 络 技术 的 广泛 应 用 提供 了 更 灵活 、 多 样 的 解决 手段 。 随 着 网 
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络 技术 的 发 展 和 进一步 应 用 ,移动 无 线 网 络 ,漫游 无 线 接 入 必 将 成 为 现实 ,话音 、 数 据 、 图 
像 的 多 业务 移动 应 用 也 将 得 到 巨大 的 发 展 和 应 用 ,这 又 将 极 大 地 促进 扩 频 通信 技术 的 快 
速 发 展 。 

4. 跳 频 扩 频 通信 技术 

跳 频 扩 频 的 实现 方法 是 载 频 信 号 以 一 定 的 速度 和 顺序 ,在 多 个 频率 点 上 跳 变 传递 ,接收 
端 以 相应 的 速度 和 顺序 接收 并 解 调 。 这 个 预先 设 定 的 频率 跳 变 的 序列 就 是 PN 码 。 在 PN 
码 的 控制 下 ,收发 双方 按照 设 定 的 序列 在 不 同 的 频率 点 上 进行 通信 。 由 于 系统 的 工作 频率 
在 不 停 地 跳 变 ,在 每 个 频率 点 上 停留 的 时 间 仅 为 毫秒 级 或 微 秒 级 ,因此 在 一 个 相对 的 时 间 段 
内 ,就 可 以 看 作 在 一 个 宽 的 频段 内 分 布 了 传输 信号 ,也 就 是 宽带 传输 。 当 然 , 跳 频 通信 系统 
在 每 个 跳 频 点 上 的 瞬时 通信 实际 上 还 是 窄带 通信 。 

跳 频 通信 系统 的 频率 跳 变速 度 反 映 了 系统 的 性 能 ,目前 , 跳 频 系统 的 基本 水 平 是 : 短波 
电台 100 跳 / 秒 ,超短波 电台 500 跳 / 秒 。 每 秒 数 千 跳 的 扩 频 电台 也 已 经 问世 ,预计 未 来 十 
年 , 跳 频 电台 的 发 展 可 以 达到 每 秒 几 万 甚至 几 十 万 ,上 百 万 跳 。 目 前 , 跳 频 系统 的 同步 时 间 
基本 在 几 百 毫秒 的 水 平 ,今后 也 必 将 越 来 越 短 。 同 步 时 间 越 短 , 信 息 被 发 现 、 截 获 和 测 向 的 
概率 越 低 ,通信 的 保密 性 、 隐 项 性 越 好 。 

无 线 电 通信 由 于 它 的 灵活 性 ,常常 被 用 于 作战 通信 。 但 是 ,传统 的 无 线 电 通信 都 是 在 某 
一 固定 频率 下 工作 的 ,很 容易 被 敌 方 截获 或 施加 电子 干扰 。 跳 频 通信 就 是 针对 上 述 传统 无 
线 电 通信 的 弊端 ,使 原先 固定 不 变 的 无 线 电 频率 按 一 定 的 规律 和 速度 来 回 跳 变 ,而 让 约定 通 
信 方 也 按 此 规律 同步 跟踪 接收 。 巾 于 敌 方 不 了 解 我 方 无 线 电信 号 的 跳 变 规律 ,很 难 将 信息 
截获 。 

跳 频 通信 可 以 有 效 地 避 开 单 频 干扰 和 多 频 干扰 ,但 是 电子 对 抗 中 的 跟踪 干扰 是 它 的 “天 
敌 ”, 跟 踪 干 扰 的 步骤 是 : 侦 听 、 处 理 、 施 放 干扰 。 当 我 方 截获 到 敌 方 的 跳 频 序列 后 ,迅速 以 
同样 的 跳 频 序列 施放 干扰 ,由 于 跳 频 序列 相同 ,预先 设 定 的 跳 频 序列 就 无 法 实现 正常 通信 ， 
这 时 只 有 通过 转换 跳 频 序列 才能 恢复 通信 ,但 是 又 会 被 重新 跟踪 并 干扰 。 

因此 只 有 提高 系统 性 能 ,提高 跳 频 速度 ,才能 达到 反 侦 听 目的 。 由 于 受到 技术 条 件 、 元 
器 件 的 限制 ,不 可 能 无 限制 提高 跳 频 速 度 。 今 后 的 跳 频 通信 应 该 是 跳 频 与 直接 序列 扩 频 技 
术 的 综合 ,或 者 是 跳 频 、 直 接 序列 扩 频 、 跳 时 技术 的 综合 。 


山 


3.4 图 像 保密 通信 


在 人 们 的 工作 、` 学 习 和 生活 中 ,有 大 量 的 数字 图 像 和 数字 视频 (动态 图 像 ) 需 要 进行 伟 
输 、 存 储 等 处 理 。 这 些 数字 图 像 和 视频 所 包含 的 信息 ,有 的 涉及 个 人 隐私 和 生命 安全 、 有 的 
涉及 公司 的 巨大 商业 利益 \ 有 的 甚至 涉及 国计民生 和 国家 安全 ,其 价值 无 法 衡量 ,因此 不 同 
程度 地 需要 保密 。 随 着 多 媒体 技术 特别 是 网 络 通信 技术 的 飞速 发 展 和 普及 ,以 及 无 线 通信 
技术 的 广泛 使 用 , 越 来 越 多 的 人 更 容易 接触 和 获取 传输 或 存储 中 的 数字 图 像 和 视频 ,威胁 到 
其 中 所 包含 信息 的 安全 。 因 而 数字 图 像 和 视频 信号 的 保密 工作 及 其 加 密 技 术 的 研究 就 显得 
十 分 紧迫 和 重要 。 

以 前 由 于 数字 图 像 和 视频 的 应 用 还 不 广泛 ,直接 使 用 密码 技术 ,将 图 像 和 视频 数据 与 文 
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本 等 其 他 数据 等 同 对 待 ,对 全 部 数据 不 加 区 别 地 按 通 用 方法 加 密 。 这 种 方法 安全 性 高 ,也 易 
于 实现 ,但 实用 中 存在 难以 克服 的 缺点 。 主 要 是 因为 视频 数据 的 海量 性 ,密码 学 方法 需要 很 
大 的 加 解密 计算 量 ,难以 同时 满足 实时 和 安全 的 需要 ; 并 且 由 于 视频 编码 信号 的 标志 信息 
因 加 密 无 法 识别 ,导致 不 能 在 线 检索 。 这 些 问题 严重 阻碍 了 图 像 视频 加 密 的 应 用 。 

适用 于 数字 图 像 加 密 的 技术 和 方法 ,主要 包括 数字 图 像 置 乱 、 分 存 、 隐 藏 , 水 印 等 ,它们 
是 针对 数字 图 像 特征 的 一 些 特殊 加 密 方法 。 

数字 视频 在 许多 方面 与 静止 图 像 有 相同 的 特性 ,例如 数据 量 大 、 结 构 性 强 、 各 部 分 数据 
的 重要 性 不 相同 ,视频 的 帧 内 编码 与 静止 图 像 编 码 类 似 , 上 述 方法 和 思路 值得 视频 加 密 借 
鉴 。 但 为 了 保证 流畅 的 视觉 效果 ,视频 加 密 必须 在 较 短 时 限 内 实时 处 理 大 量 数据 ,要 求 有 很 
高 的 实时 处 理 速度 ,因此 需要 采用 针对 视频 编码 信号 信 源 特征 的 各 类 视频 加 密 技术 。 


3.4.1 数字 图 像 置 乱 、 分 存 、 隐 藏 技术 


1. 数字 图 像 置 乱 技术 

数字 图 像 置 乱 是 指 将 图 像 中 像素 的 位 置 或 者 像素 的 颜色 “ 打 乱 ”, 将 原始 图 像 变 换 成 一 
个 杂乱 无 章 的 新 图 像 。 其 本 质 是 使 用 某 种 算法 (如 Arnold 变换 、 幻 方 排列 、Hilbert 曲线 、 
FASS 曲线 .Gray 代码 等 ) ,将 原来 (x,y) 处 的 像素 值 变 换 到 (x ,y ) 处 ,使 原 图 像 无 法 辨认 ， 
解密 时 再 恢复 原 (z,y) 值 。 如 果 不 知 道 所 使 用 的 置 乱 变换 ,很 难 恢复 出 原始 图 像 。 图 3-33 
是 经 Arnold 变换 的 效果 图 。 


(a) 原 图 (b) 单 步 Amold 变 换 结果 (0) 185 步 Arnold 变 换 结 


3-33 ”Arnold 变换 


置 乱 过 程 不 仅 可 以 在 图 像 的 空间 域 (色彩 空间 、 位 置 空间 ) 上 进行 ,还 可 以 在 频 域 上 进 
行 。 如 果 先 将 图 像 经 DCT 或 小 波 变换 ,再 对 变换 域 系数 按 同 样 的 算法 置 乱 , 效 果 更 好 ,而 
且 可 以 只 对 少量 的 重要 系数 置 乱 ,减少 了 计算 量 。 

2. 数字 图 像 分 存 技术 

将 图 像 信 息 分 为 具有 一 定 可 视 效果 、 没 有 互相 包含 关系 的 n 幅 子 图 像 。 只 有 拥有 图 像 
信息 中 的 m(m 二 nn) 幅 子 图 像 后, 才 可 以 恢复 原始 图 像 的 信息 ; 而 任意 少 于 m 幅 的 子 图 像 信 
息 ,都 无 法 恢复 原来 的 图 像 。 如 果 丢 失 了 子 图 像 中 的 若干 幅 , 只 要 剩余 的 子 图 像 不 少 于 m 
幅 ,并 不 影响 图 像 的 恢复 。 

图 像 分 存 可 以 避免 由 于 少数 几 份 图 像 信 息 的 缺失 ( 失 密 或 丢失 ) 而 造成 严重 的 事故 ,而 
个 别 图 像 信息 的 泄露 或 丢失 也 不 会 引起 整个 图 像 信息 的 失 密 或 损失 ,从 而 降低 了 窃取 或 毁 
坏 原 始 图 像 信息 的 可 能 性 。 
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3. 数字 图 像 隐藏 技术 

将 信息 隐藏 于 数字 化 媒体 之 中 ,实现 隐 项 传输 存储、 身份 识别 等 功能 。 把 指定 的 信息 
(可 以 是 图 像 ,也 可 以 是 声音 或 者 文字 ,数值 等 信息 ) 隐 藏 于 数字 化 的 图 像 . 声 音 、 甚 至 文本 当 
中 ,来 迷惑 恶意 攻击 者 。 


3.4.2 数字 水 印 技术 


数字 水 印 技术 是 指 用 信号 处 理 的 方法 在 数字 化 的 多 媒体 数据 中 骨 入 隐藏 的 标记 ,这 种 
标记 通常 是 不 可 见 的 ,只 有 通过 专用 的 检测 器 或 阅读 器 才能 提取 。 

日 程 生活 中 为 了 鉴别 纸币 的 真 伪 ,人 们 通常 将 纸币 对 着 光源 ,会 发 现 真 的 纸币 中 有 清晰 
的 图 像 信息 显示 出 来 ,这 就 是 人 们 熟悉 的 “水 印 ”。 之 所 以 采用 水 印 技术 是 因为 水 印 有 其 独 
特 的 性 质 ; 水 印 是 一 种 几乎 不 可 见 的 印记 ,必须 放置 于 特定 环境 下 才能 被 看 到 ,不 影响 物品 
的 使 用 ; 水 印 的 制作 和 复制 比较 复杂 ,需要 特殊 的 工艺 和 材料 ,而 且 印 刷 品 上 的 水 印 很 难 被 
去 掉 。 因 此 水 印 常 被 应 用 于 诸如 支票 证书、 护照 发票 等 重要 印刷 品 中 ,长 期 以 来 判定 印刷 
品 真 伪 的 一 个 重要 手段 就 是 检验 它 是 否 包含 水 印 。 

随 着 数字 技术 和 Internet 的 快速 发 展 ,多 媒体 作品 (图 像 、 视 频 、 声 频 ) 的 传播 范围 和 速 
度 突飞猛进 ,但 同时 盗版 现象 也 愈演愈烈 。 于 是 保护 数字 音像 产品 的 版 权 , 维 护 创作 者 的 合 
法 利益 ,成 为 关系 文化 市 场 繁荣 的 重大 课题 。 数 字 水 印 技 术 正 是 在 这 个 背景 下 诞生 的 , 它 通 
过 在 原始 数据 中 嵌入 秘密 信息 一 一 水 印 ,来 证 明 多 媒体 作品 的 所 有 权 。 它 在 数字 作品 的 知 
识 产权 保护 .商品 交易 中 的 票据 防伪 、 声 像 数据 
的 隐藏 标识 和 自 改 提示 、 隐 项 通信 及 其 对 抗 等 领 
域 具有 广泛 的 应 用 价值 。 

如 图 3-34 所 示 的 数字 水 印 相 机 将 数字 水 印 
技术 与 数码 相机 技术 结合 起 来 ,在 拍摄 数码 照片 
时 添加 隐藏 水 印 , 第 一 时 间 内 对 图 像 的 原始 版 权 
和 图 像 内 容 进行 保护 ,图 像 添 加 水 印 后 ,对 其 做 
任何 更 改 ( 即 使 一 个 像素 ) 均 可 以 被 有 效 识 别 , 而 
图 3-34 ”数字 水 印 相机 图 像 的 质量 及 大 小 则 不 会 有 任何 变化 ,保证 了 数 

码 影像 的 数据 安全 性 。 


1. 数字 水 印 的 基本 特征 

数字 水 印 中 包含 音像 作品 的 版 本 、 创 作者 、 拥 有 者 、 发 行人 等 信息 ,数据 量 并 不 大 ,一 般 
控制 在 100 位 以 内 ,与 动 驾 上 兆 字 节 的 音乐 .影视 文件 相 比 犹如 藏 在 草 堆 中 的 一 根 针 。 

数字 水 印 必须 具备 以 下 基本 特征 : 

1) 隐蔽 性 

在 数字 作品 中 嵌入 数字 水 印 不 会 引起 明显 的 质量 下 降 。 利 用 人 类 视觉 或 听觉 特性 ,使 
带 水 印 的 作品 欣赏 起 来 无 异 于 原先 的 作品 。 

2) 隐藏 位 置 的 安全 性 

水 印信 息 隐藏 于 数据 而 非 文件 头 中 ,文件 格式 的 变换 不 会 导致 水 印 数据 的 丢失 。 
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3) 安全 性 

具有 较 强 的 抗 攻击 能 力 ,能够 承受 一 定 程度 的 人 为 攻击 ,而 暗藏 的 水 印 不 被 破坏 。 水 印 
作品 和 普通 作品 在 统计 噪音 分 布 上 不 存在 区 别 , 攻 击 者 无 法 用 统计 学 方法 确定 水 印 的 位 置 。 

4) 鲁 棒 性 

指 在 经 历 多 种 无 意 或 有 意 的 信号 处 理 过 程 后 ,数字 水 印 仍 能 保持 完整 性 或 仍 能 被 准确 
上 鉴别。 可 能 的 处 理 包括 : 对 图 像 进行 尺寸 缩放 、 剪 裁 ,扭转 等 ; 对 图 像 进行 有 损 压 缩 ; 调整 
图 像 和 视频 的 对 比 度 、 亮 度 、 色 度 ; 进行 模 / 数 、 数 / 模 转换 等 。 

在 数字 水 印 技术 中 ,水 印 的 数据 量 和 重 棒 性 构成 了 一 对 基本 矛盾 。 从 主观 上 讲 ,理想 的 
水 印 算法 应 该 既 能 隐藏 大 量 数据 ,又 可 以 抵抗 各 种 信道 噪声 和 信号 变形 。 然 而 在 实际 中 ,这 
两 个 指标 往往 不 能 同时 实现 ,不 过 这 并 不 会 影响 数字 水 印 技术 的 应 用 ,因为 实际 应 用 一 般 只 
偏重 其 中 的 一 个 方面 。 如 果 是 为 了 隐蔽 通信 ,数据 量 显 然 是 最 重要 的 ,由 于 通信 方式 极为 隐 
蔽 ,遭遇 敌 方 和 代 改 攻击 的 可 能 性 很 小 ,因而 对 鲁 棒 性 要 求 不 高 。 但 对 保证 数据 安全 来 说 , 情 
况 恰 恰 相反 ,各 种 保密 的 数据 随时 面临 着 被 瓷 取 和 算 改 的 危险 ,所 以 鲁 棱 性 是 十 分 重要 的 ， 
此 时 ,隐藏 数据 量 的 要 求 居于 次 要 地 位 。 

2. 水 印 嵌 入 算法 

水 印 嵌 入 算法 可 以 分 成 两 大 类 : 空间 域 算法 (水 印 被 直接 嵌入 图 像 的 亮度 值 上 ) 和 变换 
域 算法 (将 图 像 做 某 种 数学 变换 ,然后 水 印 被 嵌入 变换 系数 中 ) 。 

目前 国内 外 的 典型 算法 有 以 下 几 种 : 

1) 最 低 有 效 位 算法 

它 是 国际 上 最 早 提出 的 数字 水 印 算法 ,是 一 种 典型 的 空间 域 信息 隐藏 算法 。 它 可 以 隐 
藏 较 多 的 信息 ,但 当 受到 各 种 攻击 后 水 印 很 容易 被 移 去 。 

2) Patchwork 算法 

麻 省 理工 大 学 多 媒体 实验 室 提出 的 一 种 数字 水 印 算法 ,主要 用 于 打印 票据 的 防伪 。 其 
缺点 是 所 隐藏 的 数据 量 较 少 ,对 仿 射 变换 敏感 。 

3) 基于 DCT 的 频 域 水 印 算 法 

这 是 目前 研究 最 多 的 算法 ,具有 和 鲁 棒 性 强 、 隐 蔽 性 好 等 特点 ,可 以 与 JPEG MPEG 等 压 
缩 标准 的 核心 算法 相 结合 ,能 较 好 地 抵抗 有 损 压 缩 。 

4) 扩展 频谱 方法 

是 扩 频 通信 技术 在 数字 水 印 中 的 应 用 ,其 特点 是 应 用 一 般 的 滤波 手段 无 法 消除 水 印 。 

5) 小 波 变换 算法 

具有 空间 域 方 法 和 DCT 变换 域 方法 的 优点 ,是 一 种 既 有 自 适应 功能 ,又 有 和 鲁 棒 性 的 技 
术 ,缺点 是 计算 量 大 。 

3. 嵌入 水 印 的 基本 原理 

所 有 嵌 入 水 印 的 方法 都 包含 两 个 基本 的 构造 模块 : 水 印 嵌 入 系统 和 水 印 恢复 系统 (水 
印 提 取 系 统 、 水 印 解码 系统 ) 。 

如 图 3-35 所 示 的 水 印 嵌 入 系统 ,其 输入 是 水 印 、 载 体 数 据 和 一 个 可 选 的 公 钥 或 私 钥 。 
水 印 可 以 是 任何 形式 的 数据 ,如 数值 文本、 图 像 等 。 密 钥 可 用 来 加 强 安全 性 ,以 避免 未 授权 
方 恢复 和 修改 水 印 。 
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如 图 3-36 所 示 的 水 印 恢复 系统 ,其 输入 是 已 嵌入 水 印 的 数据 . 公 钥 或 私 钥 , 输 出 的 是 水 
印 , 它 表 明了 所 考察 数据 中 存在 给 定 水 印 。 


-水印 。| 插入 水 印 的 数据 
3 E 加 入 水 印 后 的 水 印 
载体 数据 水 印 谋 入 算法 加 入 水 数据 水 印 检测 算法 
公 钥 / 私 钥 公 钥 / 私 钥 

图 3-35 水 印 嵌 入 系统 图 3-36 水 印 恢复 系统 


【 例 3-5】 使 用 AssureMark 做 入 数字 水 印 。 
(1) 运行 AssureMark 软件 ,在 上 方 的 “模式 选择 ?中 选择 "嵌入 水 印 ? 模 式 , 如 图 3-37 


所 示 。 


和 assureaark v1-0 试用 版 


模式 沈 择 
从。 媒 和 水印 人 检测 水 印 | 


输入 原始 图 伯 。 卜 信息 对 搞 号 网 后 安全 \ 软 件 \eh3\test bwp 国 
给 ux 加 [em 周 | 


输入 水 印信 息 六 or 


汉 一 一 一 一 
水 印 容量 ( 字 节 ) 厂 一 9 一” 。 图 六 大 小 83 


S| 


蔚 入 水 印 
AVIURE wma, ei” 
3-37 ”AssureMark 程序 运行 界面 


(2) 单 击 “ 输 入 原始 图 像 ” 文 本 框 右 侧 的 按钮 ,选择 原始 图 像 文 件 。 若 此 时 “水 印 容 量 
( 字 节 )” 文 本 框 中 显示 为 0, 表 示 图 像 文 件 过 小 ,可 以 使 用 ACDSee 的 Resize 功能 扩大 图 像 
文件 以 增 大 水 印信 息 容量 。 

(3) 单 击 “输出 水 印 图 像 " 文 本 框 右 侧 的 按钮 , 填 和 人 输出 水 印 图 像 名 。 

(4) 在 “输入 水 印信 息 ” 编 辑 框 中 输入 水 印信 息 内 容 。 

(5) 在 “密码 ”文本 框 中 输入 密码 。 

(6) 单 击 “和 嵌入 水 印 ? 按 钮 开始 嵌入 水 印 , 水 印 嵌入 完毕 后 ,程序 显示 原始 图 像 和 水 印 图 
像 , 如 图 3-38 所 示 。 可 以 看 出 嵌入 水 印 图 像 后 画 质 没 有 明显 受 损 。 

【 例 3-6】 使 用 AssureMark 检测 文件 中 的 水 印信 息 。 

(1) 运行 AssureMark 软件 ,在 上 方 的 “模式 选择 ”中 选择 “检测 水 印 ” 模 式 。 

(2) 单 击 “输入 原始 图 像 "文本 框 右 侧 的 按钮 选择 被 检测 的 图 像 文件 。 

(3) 在 “密码 ”文本 框 中 输入 水 印 的 密码 ,如 图 3-39 所 示 。 

(4) 单 击 “ 检 测 水 印 ” 按 钮 ,水 印 检 测 完毕 后 ,程序 显示 检测 结果 ,如 图 3-40 所 示 。 


21% 


(a) 原始 图 像 (b) 水 印 图 像 
图 3-38 原始 图 像 和 水 印 图 像 


ssureark vl.0 试用 版 


模式 选择 
广 妖 入 水 印 加 检测 水 印 


铀 入 原 几 国际。 万 昌 对 玉 司 玉 安 全 \ 区 全 en3\testva jpe [| 


加 


水 印 容量 ( 字 节 ) 图 你 大 小 637 x 486 


| 多 | 回 | 


嵌入 水 检测 水 印 退出 
ABIURE ym em, 多 


图 3-39 检测 水 印 图 3-40 检测 结果 


3.4.3 视频 加 密 技术 


视频 信号 具有 数据 量 大 的 特点 ,在 实际 应 用 中 需要 压缩 编码 ,当前 应 用 广泛 的 标准 有 : 
MPEG1 .MPEG 2.MPEG 4、H. 261、H.263、H. 264 等 。 

MPEG、H. 26x 都 按 层次 结构 组 织 图 像 数 据 ,各 层 的 头 标志 是 规定 的 易于 从 数据 流 中 
分 辨 出 来 的 特殊 码 字 组 合 , 起 同步 .描述 数据 特征 等 作用 ,如 果 受 到 破坏 (加 密 ), 则 会 妨碍 收 
方正 确 恢 复原 视频 图 像 。 

MPEG、H. 26z 都 采用 I( 帧 内 )、P( 预 测 )、B 
(双向 预测 ) 三 种 帧 格式 组 成 编码 帧 序列 (MPEG4 
采用 类 似 的 I、P、B 三 种 VOP 格式 ), 如 图 3-41 
所 示 。 

I 帧 独立 编码 ,P 帧 以 其 前 帧 为 参考 ,使 用 运 
动 估计 和 补偿 技术 编码 本 帧 与 其 前 帧 相应 块 间 的 
残 差 ,B 帧 也 是 差 值 编码 ,与 P 帧 编码 不 同 的 是 要 图 3-41 IPB 帧 格式 
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同时 以 前 后 帧 为 参考 。P、B 帧 都 不 是 独立 编码 ,其 编 解码 要 依赖 相应 的 I 帧 。 因 此 工 帧 比 
较 重要 ,对 工 帧 加 密 不 仅 影响 本 帧 解码 和 图 像 恢复 ,也 影响 到 其 后 的 P.B 帧 解码 和 图 像 恢 
复 。 与 编码 块 相 对 应 的 前 后 帧 的 参考 块 由 运动 矢量 指示 ,改变 运动 矢量 即 改变 参考 块 ,也 影 
响 了 了 P、B 帧 正确 解码 。 

当前 视频 压缩 编码 算法 主要 基于 DCT 变换 和 炉 编 码 ( 主 要 是 Huffman 和 算术 编码 ) 等 
基本 算法 ,如 图 3-42 所 示 。 


B| RGB 到 了 Cr 
R | |YCbCrCMYK 
一 一 一 -一 -| 


Cb 


ee 


每 个 图 像 平面 | 


每 个 DEF 量化 
| 


8X8 图 块 


Zig-Zag 


堆 夫 曼 编码 
算术 编码 


01101... 


图 3-42 视频 压缩 编码 算法 框图 


视频 数据 一 般 分 成 8X8 像素 块 ,经 DCT 变换 成 频 域 系数 ,直流 和 低频 系数 集中 了 大 部 
分 能 量 ,比较 重要 。8X8 视频 系数 通常 按 Zig-Zag 顺序 映射 成 1X64 的 序列 ,低频 系数 在 
前 ,集中 了 主要 能 量 ,高 频 系数 在 后 ,大 部 分 接近 为 零 ,通过 量化 和 游程 编码 达到 压缩 的 
目的 。 

改变 DCT 系数 的 顺序 ,能 改变 解码 图 像 ,但 会 降低 压缩 率 。Huffman 码 表 通 过 统计 码 
流 中 各 种 位 组 合 模 式 出 现 的 概率 制作 , 编 解 码 要 使 用 统一 的 Huffman 码 表 , 和 否则 不 能 正确 
解码 。 

下 面 是 一 些 常 见 的 视频 加 密 方法 : 

1. 传统 加 密 方法 

最 早 的 视频 加 密 方法 ,对 全 部 视频 数据 流 直接 用 密码 技术 加 密 和 解密 ,易于 实现 ,在 目 
前 视频 加 密 方法 中 ,安全 性 最 高 。 但 是 由 于 视频 信号 数据 量 很 大 ,所 以 这 种 加 密 方法 计算 量 
非常 大 ,不 仅 浪费 资源 ,而 且 难 以 保证 实时 性 。 另 外 标志 信息 经 加 密 后 无 法 识别 ,不 能 实现 
在 线 检索 等 功能 。 

2. 选择 性 加 密 方法 

选择 性 加 密 是 基于 信 源 特征 的 视频 加 密 方法 的 主要 方向 ,只 对 选择 的 重要 数据 加 密 , 可 
分 为 以 下 几 类 : 

1) 仅 对 工 帧 加 密 

仅 对 工 帧 DCT 系数 块 加 密 : 具 有 扩散 作用 ,使 P.B 帧 利用 运动 补偿 进行 差 值 编码 的 相 
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应 块 不 加 密 也 难以 正确 解码 ,达到 了 选择 部 分 数据 加 密 减 少 计算 量 的 目的 。 该 算法 节约 加 
解密 时 间 30% 一 50% ,提高 了 加 解密 速度 。 且 不 改变 原 视频 编码 数据 码 流量 大 小 ,不 影响 
压缩 率 。 但 这 种 算法 不 安全 ,在 保密 要 求 高 的 场合 中 不 能 单独 使 用 。 

2) 加 密 运 动 矢 量 

随机 改变 运动 矢量 的 符号 位 或 同时 改变 符号 位 和 数值 来 影响 P.B 帧 的 正确 解码 ,对 I 
帧 编 解 码 完全 没有 影响 , 故 不 能 单独 使 用 。 加 密 数 据 量 小 ,计算 量 小 ,因而 速度 快 ,不 降低 编 
码 压缩 率 。 

3) DCT 块 内 系数 分 层 加 密 

把 DCT 系数 从 低频 到 高 频 分 为 基本 层 、 中 间 层 和 增强 层 三 部 分 。 只 加 密 基 本 层 和 中 
间 层 ,可 以 减少 计算 量 , 保 证 基本 层 传 送 ,即使 中 间 层 和 增强 层 丢 失 ,接收 方 也 能 显示 出 主要 
信息 。 该 算法 只 对 部 分 DCT 系数 加 密 ,减少 了 计算 量 。 

4) 仅 加 密 头 信息 

将 头 信息 加 密 , 再 与 其 他 数据 随机 混合 ,使 接收 方 难以 按 原 数据 结构 区 分 结构 信息 和 视 
频 信息 并 解码 。 该 算法 不 降低 压缩 率 , 计 算 量 小 。 但 是 安全 性 较 低 ,因为 头 信息 所 含 信息 量 
小 ,加 密 效率 低 ,这 种 加 密 方式 比较 容易 破解 。 为 便于 合法 接收 方 解 码 , 需 加 入 同步 信息 ,或 
保留 原来 部 分 同步 信息 。 

3. Zig-Zag 置 乱 算法 

Zig-Zag 置 乱 算法 的 基本 思想 是 : 使 用 一 个 随机 的 置 乱 序列 来 代替 Zig-Zag 扫描 顺序 ， 
将 各 个 8X8 块 的 DCT 系数 映射 成 一 个 1X64 矢量 。 

Zig-Zag 置 乱 算法 速度 很 快 ,不 影响 视频 的 实时 传输 。 但 是 经 过 加 密 的 MPEG 流 将 显 
著 增 大 ,最 大 可 增加 46%, 且 有 严重 的 安全 性 问题 。 

4. 改变 Huffman 码 表 算法 


将 通用 Huffman 码 表 修改 (加 密 ) 后 使 用 ,并 将 其 作为 密 钥 。 非 法 接收 方 无 此 特殊 码 
表 , 不 能 正确 解码 。 该 算法 完全 不 增加 计算 量 , 适 用 于 使 用 Huffman 编码 的 各 种 视频 和 图 
像 压缩 编码 标准 和 算法 ,其 缺点 是 安全 性 较 差 。 

5. 基于 统计 规律 的 视频 加 密 算法 


该 方法 不 加 密 头 信息 结构 格式 等 数据 ,只 加 密 图 像 数据 本 身 。 将 待 加 密 数据 分 为 两 半 ， 
一 半 用 密码 方法 加 密 , 另 一 半 用 简单 异 或 ,因此 总 体 减少 了 计算 量 , 提 高 了 计算 速度 。 

该 方法 不 影响 压缩 率 , 适 用 于 压缩 的 视频 编码 数据 ,而 且 压 缩 效 果 越 好 ,加 密 效果 也 
越 好 。 

【 例 3-7】〗 使 用 “多 媒体 文件 加 密 器 ”加密 视频 文件 。 

(1) 运行 程序 ,界面 如 图 3-43 所 示 。 

(2) 单 击 “ 选 择 & 添 加 文件 ”按钮 ,选择 要 加 密 的 文件 。 在 “请 指定 加 密 密 钥 ”文本 框 中 
输入 密码 ,如 test1234, 单 击 “ 执 行 加 密 ” 按 钮 ,系统 进行 加 密 , 如 图 3-44 所 示 。 

(3) 单 击 “ 加 密 完 成 ”按钮 ,完成 加 密 。 用 户 得 到 加 密 文件 后 ,双击 该 文件 ,出 现 如 图 3-45 
所 示 的 “播放 授权 信息 ”界面 。 

(4) 用 户 复制 “您 的 电脑 标识 ”文本 框 中 的 内 容 ,发送 给 加 密 者 。 

(5) 加 密 者 单 击 “ 多 媒体 文件 加 密 器 ”的 “创建 播放 密码 ”选项 ,输入 加 密 时 的 密码 和 用 
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户 标识 ,如 图 3-46 所 示 。 


多 捧 体 文件 加 密 回 离 认 授 权 版 2.0.1 二 
Ce 还 原文 件 。 | 参数 设置 | 。 节 建 播放 区 码 | 关于 | 
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请 指定 加 密 秘 由 用 户 自行 指定 口 备 份 原文 件 为 bak 
如 果 您 希望 用 户 可 以 免费 试看 惑 试听 部 分 片段 ， 请 指定 免费 秒 数 [| 秒 
加 方式 
个 加密 后 的 文件 必须 输入 窑 码 才能 播放 不 限制 电脑 ) 执行 加 志 
个 加 密 后 的 文件 不 同 电脑 需要 不 同 的 措 放 密码 


播放 授权 信息 
EE 
总 文件 数 轩 | 和 “由 户 ,到 坎 后 我 们 会 及 时 格 te 
成 功 加 密 文件 数 [于 ~ 文本 文件 与 EXE 文 件 自动 跳 过 ) EN 请 到 http//www ”con 变 付 后 ， 立 即 获得 
当前 处 理 四 www 上 
请 输入 播放 密码 
进度 
确定 退出 
图 3-44 多 媒体 文件 加 密 器 界面 图 3-45 “播放 授权 信息 ”界面 
= 多 赣 体 文件 加 密 器 离线 授权 版 2.0.1 


文件 加 铸 。 | 。 还 原文 件 。 | 参数 设置 创建 播放 宅 码 | 关于 | 
一 为 用 户 他 时 播放 密码 


请 输入 加 密 时 使 用 的 秘 钥 
ltest1234 


请 输入 用 户 的 电脑 标识 


厂 为 用 户 创 建 机 器 无 关 性 播放 密码 


创建 播放 客 码 


lifiles 


图 3-46 “创建 播放 密码 ”界面 
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(6) 单 击 “创建 播放 密码 ?按钮 ,产生 针对 该 用 户 电脑 的 播放 密码 ,如 图 3-47 所 示 。 


-= 二 = 多 妖 伟 文件 加 密 团 离线 授权 版 01 二 = 。_ x 
文件 加 密 。 | 还 原文 件 “| 参数 设置 创建 播放 密码 | 关于 | 
三 为 用 户外 建 播放 密码 


请 输入 加 密 时 使 用 的 秘 钥 
[esn234 


请 输入 用 户 的 电脑 标识 
[adas7d67c5 


厂 为 用 户 创建 机 器 无 关 性 播放 密码 


创建 播放 密码 | 


lifiles 
图 3-47 创建 播放 密码 


(7) 将 该 密码 发 送 给 用 户 ,用户 在 “请 输入 播放 密码 ”文本 框 中 输入 上 述 “ 播 放 密 码 ”, 单 
击 “ 确 定 ” 按 钮 ,实现 视频 播放 。 
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. 简 述 通信 保密 的 基本 要 求 。 

. 简 述 网 络 通 信保 密 的 基本 方法 。 

.信息 隐藏 技术 与 加 密 技术 的 区 别 是 什么 ? 
. 上 机 实现 基于 文本 的 信息 隐藏 。 

. 使 用 Easycode 将 一 幅 GIF 图 片 隐 藏 在 另 一 幅 JPG 图 片 中 。 
. 上 机 实现 基于 声音 的 信息 隐藏 。 

.什么 是 窃听 、 反 窃听 、 防 窃听 ? 

. 简 述 话音 保密 技术 。 

. 什么 是 图 像 置 乱 、 分 存 、 隐 藏 技术 ? 

. 数字 水 印 技术 的 基本 特征 有 哪些 ? 

12. 上 机 实现 数字 水 印 的 嵌入 与 检测 。 

13. 常见 的 视频 加 密 方 法 有 哪些 ? 

14. 上 机 实现 对 视频 的 加 密 。 
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随 着 社会 和 技术 的 进步 ,信息 安全 也 有 一 个 发 展 的 过 程 ,一 般 将 信息 安全 的 发 展 分 成 三 
个 阶段 , 即 通信 和 安全、 计算机 安全 和 网 络 安全 。 

通信 安全 的 主要 目的 是 解决 数据 传输 的 安全 问题 ,主要 措施 是 密码 技术 。 

计算 机 安全 的 主要 目的 是 解决 计算 机 信息 载体 及 其 运行 的 安全 问题 ,主要 措施 是 根据 
主客 体 的 安全 级 别 , 正 确实 施主 体 对 客体 的 访问 控制 。 

网 络 安全 是 在 分 布 网 络 环境 中 ,对 信息 载体 和 信息 的 处 理 、 传 输 , 存 储 、 访 问 提供 安全 保 
护 , 以 防止 信息 被 非 授 权 使 用 或 自 改 。 网 络 安 全 的 主要 目的 是 解决 在 分 布 网 络 环境 中 对 信 
息 载体 及 其 运行 提供 安全 保护 ,主要 措施 是 提供 完整 的 信息 安全 保障 体系 ,包括 防护 、 检 测 、 

维护 信息 载体 的 安全 就 要 抵抗 对 网 络 和 系统 的 安全 威胁 。 这 些 安全 威胁 包括 物理 侵犯 
(如 机 房 侵 入 .设备 偷窃 .废物 搜寻 电子 干扰 等 ) ,系统 漏洞 (如 旁 路 控制 .程序 缺陷 等 ) ,网 络 
入 侵 ( 如 窃听 截获 .堵塞 等 ) ,恶意 软件 (如 病毒 .蠕虫 .特洛伊 木马 ,炸弹 等 ) ,存储 损坏 (如 老 
化 、 破 损 等 ) 等 。 为 抵抗 对 网 络 和 系统 的 安全 威胁 ,通常 采取 的 安全 措施 包括 门 控 系 统 、 防 火 
墙 、 防 病毒 .人 侵 检测 .漏洞 扫描 存储 备份 日志 审 计 、 应 急 响 应 .灾难 恢复 等 。 

维护 信息 自身 的 安全 就 要 抵抗 对 信息 的 安全 威胁 。 这 些 安全 威胁 包括 身份 假冒 ,非法 访 
问 、 信 息 泄露 .数据 受 损 ,事后 否认 等 。 为 抵抗 对 信息 的 安全 威胁 ,通常 采取 的 安全 措施 包括 身 
份 鉴别 .访问 控制 .数据 加 密 、 数 据 验证 、 数 字 签 名 ,内容 过 滤 日志 审计 、 应 急 响 应 .灾难 恢复 等 。 

据 ( 中 国 互 联网 站 发 展 状况 及 其 安全 报告 (2014 年 )》,2013 年 被 算 改 的 中 国 网 站 数量 为 
24034 个 , 较 2012 年 的 16 388 个 大 幅 增 长 46.7%; 新 增收 录 信 息 系统 安全 漏洞 7854 个 , 较 
2012 年 收录 数量 增长 15%; 监测 到 境内 76 160 个 中 国 网 站 被 植 和 后门 , 较 2012 年 大 幅 长 
增长 46%, 向 中 国 网 站 实施 植 人 后 门 攻击 的 IP 地 址 中 ,有 30 824 个 位 于 境外 ,主要 位 于 美 
国 (20. 2%)、 印 尼 (11. 4%) 和 韩国 (6. 5%) 等 国家 和 地 区 ; 平均 每 天 发 生 攻击 流量 超过 
1Gb/s 的 拒绝 服务 攻击 事件 1802 起 , 较 2012 年 增长 76%; 监测 发 现 仿冒 中 国 网 站 的 仿冒 
页 面 URL 地 址 30 199 个 ,涉及 域名 18 011 个 ,这 些 域 名 分 别 解析 到 境内 外 4240 个 IP 地 
址 ,有 90.2% 位 于 境外 ,其 中 IP 地 址 位 于 美国 的 有 2043 个 , 占 整个 仿冒 中 国 网 站 的 境外 IP 
地 址 总 量 的 53. 4%。 严 重 影响 到 网 站 的 服务 体验 和 用 户 上 网 安全 。 


4.1 计算 机 安全 问题 


在 计算 机 和 计算 机 网 络 迅 速 发 展 的 同时 , 它 也 正 日 益 成 为 非法 分 子 攻击 的 首要 目标 。 
4.1.1 计算 机 犯罪 类 型 
随 着 科学 技术 的 进步 ,计算 机 及 网 络 技术 得 到 了 飞速 的 发 展 , 同 任何 技术 一 样 , 计 算 机 
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技术 也 是 一 柄 双 刃 剑 , 一 方面 极 大 地 促进 了 社会 生产 力 的 发 展 ; 但 同时 ,五 花 八 门 的 计算 机 
犯罪 也 随 之 产生 : 黑客 的 擅自 人 侵 , 计 算 机 病毒 的 擅自 制造 及 传播 ,国家 秘密 情报 或 者 军事 
机 密 的 泄漏 ,网 络 资源 遭 到 破坏 攻击 并 导致 信息 系统 瘫痪 等 现象 层出不穷 。 

利用 计算 机 进行 犯罪 活动 是 从 20 世纪 60 年 代 末 开始 出 现 的 ,计算 机 犯罪 指 以 计算 机 
为 工具 或 以 计算 机 资产 为 对 象 (包括 硬件 系统 、 软 件 系统 和 机 时 、 网 上 资源 等 ) 实 施 的 犯罪 
行为 。 

计算 机 犯罪 的 主要 类 型 包括 : 

(1) 对 程序 数据、 存储 介质 的 物理 性 破坏 。 

(2) 窃取 或 转卖 信息 资源 。 

(3) 盗用 计算 机 机 时 。 

(4) 利用 系统 中 存在 的 程序 或 数据 错误 ,进行 非法 活动 。 

(5) 非法 进行 程序 修改 活动 。 

(6) 信用 卡 方面 的 计算 机 犯罪 。 


4.1.2 计算 机 犯罪 手段 


计算 机 犯罪 手段 包括 数据 欺骗 .数据 泄露 .间接 窃取 信息 、 特 洛 伊 木马 .超级 冲 杀 、 活 动 
天 窗 、 人 逻辑 炸弹 、 浏 览 ,冒名 顶替 ,蠕虫 等 。 

(1) 数据 欺骗 : 在 计算 机 系统 中 ,非法 算 改 输入 /输出 数据 。 

(2) 数据 泄露 : 有 意 转移 或 窃取 信息 的 一 种 手段 。 

(3) 间接 窃取 信息 : 利用 统计 数据 推导 机 密 信息 。 

(4) 特洛伊 木马 : 在 程序 中 暗中 存放 秘密 指令 ,使 计算 机 在 仍 能 完成 原先 指定 任务 的 
情况 下 ,执行 非 授权 的 功能 。 

(5) 超级 冲 杀 : 是 一 个 当 计算 机 停机 、 出 现 故 障 或 其 他 需要 人 为 干预 时 计算 机 的 系统 
干预 程序 , 它 相 当 于 系统 的 一 把 总 开关 钥匙 。 如 果 被 非 授权 用 户 使 用 ,就 构成 了 对 系统 的 潜 
在 威胁 。 

(6) 活动 天 窗 : 利用 人 为 设置 的 窗口 ,通常 指 故 意 设置 的 入口 点 ,侵入 系统 。 通 过 入 口 
点 可 以 进入 大 型 应 用 程序 或 操作 系统 ,在 排 错 、 修 改 和 重新 启动 的 时 候 ,可 以 通过 这 些 窗口 
访问 有 关 程 序 ,而 罪犯 则 可 利用 它 来 寻找 系统 软件 的 薄弱 环节 ,进行 非法 侵入 活动 。 

(7) 逻辑 炸弹 : 插入 程序 编码 ,这些 编码 仅 在 特定 时 刻 或 特定 条 件 下 执行 , 故 称 为 巡 辑 
炸弹 或 定时 炸弹 。 逻 辑 炸弹 的 关键 是 特定 条 件 下 的 程序 激活 ,计算 机 病毒 的 可 激活 特征 , 实 
际 上 就 是 一 个 逻辑 炸弹 。 

(8) 浏览 : 在 系统 或 终端 设备 上 ,利用 合法 使 用 手段 进行 搜索 或 访问 一 些 非 授 权 文 件 。 
例如 在 存储 区 搜索 某 些 有 兴趣 或 有 潜在 极 值 的 东西 ,或 利用 合法 访问 系统 指定 文件 的 机 会 ， 
趁机 访问 非 授权 文件 ,这 些 都 是 以 正常 操作 为 掩护 所 进行 的 非法 活动 。 

(9) 冒名 顶替 : 利用 窃取 用 户 的 口令 ,冒名 窃取 信息 ,或 者 当 一 个 用 户 在 用 口令 进入 工 
作 状 态 后 临时 短暂 离开 ,就 会 被 他 人 以 用 户 身份 获取 信息 或 数据 。 

(10) 蠕虫 : 通过 网 络 来 扩散 错误 ,进而 危害 整个 系统 。 在 分 布 式 系统 中 ,可 通过 网 络 
来 传播 错误 ,进而 造成 网 络 服务 发 生死 锁 。 通 常 需要 重新 启动 系统 才能 排除 蠕虫 对 系统 的 
恶性 作用 。 
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4.1.3 计算 机 安全 保护 


1. 计算 机 安全 保护 的 目标 

计算 机 安全 需要 保护 的 目标 很 多 ,包括 : 内 外 存 上 的 文件 系统 和 数据 、 内 存 中 的 执行 程 
序 和 有 关 数 据 、 文 件 目 录 、 硬 件 设备 数据 结构 (如 堆栈 )、 操 作 系 统 的 指令 (特别 是 特权 指 
令 ) .通行 字 、 用 户 鉴 别 机 制 和 保护 机 制 本 身 。 

2. 计算 机 安全 保护 的 目的 

计算 机 系统 安全 保护 的 主要 目的 是 保护 存储 在 系统 中 的 和 在 网 络 中 传输 的 信息 ,同时 
保护 系统 不 受 破坏 ,体现 在 系统 的 6 个 基本 特性 : 保密 性 、 完 整 性 .可 用 性 、 可 核查 性 .可靠 
性 和 可 控 性 。 

1) 保密 性 

保密 性 指 防止 信息 泄漏 给 非 授权 个 人 或 实体 ,信息 只 为 授权 用 户 使 用 的 特性 ,是 信息 安 
全 的 基本 要 求 。 保 密 性 包括 对 传输 的 信息 、 对 存储 的 信息 进行 加 密 保 护 , 还 要 防止 因 电磁 信 
息 泄露 带 来 的 失 密 。 

常用 的 保密 技术 包括 

(1) 防 侦查 : 使 对 手 侦查 不 到 有 用 的 信息 。 

(2) 防 辐射 : 防止 有 用 信息 以 各 种 途径 辐射 出 去 。 

(3) 信息 加 密 : 在 密 钥 的 控制 下 ,用 加 密 算 法 对 信息 进行 加 密 处 理 。 即 使 对 手 得 到 了 
加 密 后 的 信息 ,也 会 因为 没有 密 钥 而 无 法 读 懂 有 效 信息 。 

(4) 物理 保密 : 利用 各 种 物理 方法 ,如 限制 隔离, 掩蔽、 控制 等 措施 ,保护 信息 不 被 
泄露 。 

2) 完整 性 

所 谓 完 整 性 ,就 是 要 防止 信息 被 非法 复制 . 非 授权 的 修改 或 破坏 , 即 网 络 信息 在 存储 或 
传输 过 程 中 保持 不 被 偶然 或 蓄意 地 删除 ,修改 、 伪 造 \ 乱 序 、 重 放 、 插 入 等 破坏 和 丢失 的 特性 。 
完整 性 包括 数据 完整 性 、 软 件 完整 性 .操作 系统 的 完整 性 .内 外 存 完整 性 .信息 交 换 的 真实 性 
和 有 效 性 。 

完整 性 与 保密 性 不 同 ,保密 性 要 求 信 息 不 被 泄露 给 未 授权 的 人 ,而 完整 性 则 要 求 信 息 不 
会 受到 各 种 原因 的 破坏 。 

影响 网 络 信息 完整 性 的 主要 因素 有 : 设备 故障 、 误 码 ( 包 括 传输 、 处 理 和 存储 过 程 中 产 
生 的 误 码 ,稳定 度 和 精度 降低 造成 的 误 码 ,各 种 干扰 源 造成 的 误 码 等 )、 人 为 攻击 、 计 算 机 病 
毒 等 。 

保障 完整 性 的 主要 方法 有 : 

(1) 协议 。 通 过 各 种 安全 协议 可 以 有 效 地 检测 出 被 复制 的 信息 、 被 删除 的 字段 、 失 效 的 
字段 和 被 修改 的 字段 。 

(2) 纠 错 编码 方法 : 完成 检 错 和 纠 错 功能 ,最 简单 和 常用 的 纠 错 编码 方法 是 奇偶 校 
验 法 。 

(3) 密码 校 验 和 方法 : 它 是 抗 自 改 的 重要 手段 。 

(4) 数字 签名 : 保障 信息 的 真实 性 。 
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(5) 公证 : 请 求 网 络 管理 或 中 介 机 构 证 明 信 息 的 真实 性 。 

3) 可 用 性 

可 用 性 是 系统 面向 用 户 的 安全 性 能 , 它 保证 系统 资源 能 随时 随地 地 、 持 续 地 为 合法 用 户 
提供 服务 。 对 合法 用 户 不 应 发 生 拒绝 服务 或 间断 服务 , 既 要 防止 非法 者 进入 系统 ,还 要 拒绝 
合法 用 户 对 资源 的 非法 操作 和 使 用 。 

4) 可 核查 性 

可 核查 性 也 称 不 可 抵赖 性 ,确保 参与 者 的 真实 性 ,所 有 参与 者 都 不 可 能 否认 或 抵赖 曾经 
完成 的 操作 和 承诺 。 

可 核查 性 通过 信息 源 证 据 来 防止 发 信 方 不 真实 地 否认 已 发 送信 息 ; 利用 递交 接收 证 据 
来 防止 收 信 方 事后 否认 已 经 接收 的 信息 。 

5) 可 靠 性 

可 靠 性 是 系统 在 规定 条 件 下 和 规定 时 间 内 完成 规定 功能 的 特性 , 它 是 系统 安全 最 基本 
的 要 求 之 一 ,是 所 有 网 络 信息 系统 建设 和 运行 的 目标 。 

增加 可 靠 性 的 具体 措施 包括 : 提高 设备 质量 .严格 质量 管理 .配备 必要 的 宛 余 和 备份 、 
采用 容错 纠 错 和 自 愈 等 措施 .选择 合理 的 拓扑 结构 和 路 由 分 配 、 强 化 灾害 恢复 机 制 、 分 散 配 
置 负荷 等 。 

6) 可 控 性 

可 挖 性 是 对 网 络 信息 的 传播 及 内 容 具 有 控制 能 力 的 特性 。 

概括 地 说 ,网 络 信息 安全 与 保密 的 核心 是 通过 计算 机 、 网 络 、 密 码 技术 和 安全 技术 ,保护 
在 公用 网 络 信息 系统 中 传输 .交换 和 存储 信息 的 保密 性 .完整 性 真实 性 .可靠 性 .可 用 性 、 不 
可 抵赖 性 等 。 


4.1.4 一 般 安 全 问题 


计算 机 网 络 面临 的 一 般 安全 问题 包括 物理 安全 ,安全 控制 和 安全 服务 。 

物理 安全 是 指 在 物理 介质 层次 上 对 存储 和 传输 的 网 络 信息 的 安全 保护 。 安 全 控制 是 指 
在 网 络 信息 系统 中 对 存储 和 传输 信息 的 操作 和 进程 进行 控制 和 管理 ,重点 是 在 网 络 信息 处 
理 层次 上 对 信息 进行 初步 的 安全 保护 。 安 全 服务 是 指 在 应 用 程序 层 对 网 络 信息 的 保密 性 、 
完整 性 和 信 源 的 真实 性 进行 保护 和 鉴别 ,满足 用 户 的 安全 需求 ,防止 和 抵御 各 种 安全 威胁 和 
攻击 手段 。 

1. 物理 安全 


物理 安全 常见 的 不 安全 因素 包括 三 大 类 。 

(1) 第 一 类 不 安全 因素 包括 自然 灾害 (如 地 震 、 火 灾 、 洪 水 等 ) 物理 损坏 (如 硬盘 损坏 、 
设备 使 用 寿命 到 期 .外 力 破损 等 ) 、 设 备 故障 (如 停电 断 电 、 电 磁 干 扰 等 )。 其 特点 是 突 发 性 、 
自然 性 , 非 针 对 性 。 它 们 对 网 络 信息 的 完整 性 和 可 用 性 威胁 最 大 ,对 网 络 信息 的 保密 性 影响 
较 小 ,因为 在 一 般 情 况 下 ,物理 上 的 破坏 将 销毁 网 络 信息 本 身 。 针 对 第 一 类 不 安全 因素 的 解 
决 方法 包括 : 采取 各 种 防护 措施 、 制 定安 全 规章 、 随 时 备份 数据 等 。 

(2) 第 二 类 不 安全 因素 包括 电磁 辐射 (如 侦 听 微机 操作 过 程 )、 乘 机 而 入 (如 合法 用 户 进 
人 安全 进程 后 半途 离开 ) 、 痕 迹 泄露 (如 口令 密 钥 等 保管 不 善 ,被 非法 用 户 获得 )。 其 特点 是 
隐藏 性 ` 人 为 实施 的 故意 性 、 信 息 的 无 意 泄 露 性 。 它 们 主要 破坏 网 络 信息 的 保密 性 ,对 网 络 
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信息 的 完整 性 和 可 用 性 影响 不 大 。 针 对 第 二 类 不 安全 因素 的 解决 方法 包括 : 采取 辐射 防 
护 、 屏 幕 口令 ,隐藏 销毁 等 手段 。 

(3) 第 三 类 不 安全 因素 包括 操作 失误 (如 偶然 删除 文件 ,格式 化 硬盘 ,线路 拆除 等 )、 意 
外 政 漏 (如 系统 掉 电 “死机 ”等 )。 其 特点 是 人 为 实施 的 无 意 性 和 非 针 对 性 。 它 们 主要 破坏 
网 络 信息 的 完整 性 和 可 用 性 ,对 保密 性 影响 不 大 。 针 对 第 三 类 不 安全 因素 的 解决 方法 包括 ， 
状态 检测 ,报警 确认 、 应 急 恢复 等 。 

2. 安全 控制 

安全 控制 可 以 分 为 三 个 层次 。 

(1) 第 一 层次 是 操作 系统 的 安全 控制 ,包括 : 对 用 户 的 合法 身份 进行 核实 (如 开机 时 要 
求 输入 口令 )、 对 文件 读 写 存 取 的 控制 (如 文件 属性 控制 机 制 )。 此 类 安全 控制 主要 保护 被 存 
储 数据 的 安全 。 

(2) 第 二 层次 是 网 络 接口 模块 的 安全 控制 ,在 网 络 环境 下 对 来 自 其 他 机 器 的 网 络 通 信 
进程 进行 安全 控制 ,主要 包括 身份 认证 、 客 户 权限 设置 与 判别 .审计 日 志 等 。 

(3) 第 三 层次 是 网 络 互联 设备 的 安全 控制 ,对 整个 子 网 内 所 有 主机 的 传输 信息 和 运行 
状态 进行 安全 监测 和 控制 。 此 类 控制 主要 通过 网 管 软件 或 路 由 器 配置 实现 。 

3. 安全 服务 

安全 服务 可 以 在 一 定 程度 上 弥补 和 完善 现 有 操作 系统 和 网 络 信息 系统 的 安全 漏洞 。 安 
全 服务 的 主要 内 容 包 括 : 安全 机 制 、 安 全 连接 、 安 全 协议 .安全 策略 等 。 

1) 安全 机 制 

利用 密码 算法 对 重要 而 敏感 的 数据 进行 处 理 , 包 括 : 以 保护 网 络 信息 保密 性 为 目标 的 
数据 加 密 和 解密 ; 以 保证 网 络 信息 来 源 真 实 性 和 合法 性 为 目标 的 数字 签名 和 签名 验证 ; 以 
保护 网 络 信息 的 完整 性 ,防止 和 检测 数据 被 修改 .插入 \ 删 除 和 改变 的 信息 认证 等 。 

安全 机 制 是 安全 服务 乃至 整个 网 络 信息 安全 系统 的 核心 和 关键 ,现代 密码 学 在 安全 机 
制 的 设计 中 扮演 着 重要 的 角色 。 

2) 安全 连接 

安全 连接 主要 包括 会 话 密 钥 的 分 配 、 生 成 和 身份 验证 。 身 份 验证 则 在 保护 信息 处 理 和 
操作 双方 的 身份 真实 性 和 合法 性 。 

3) 安全 协议 

协议 是 多 个 使 用 方 为 完成 某 些 任务 所 采取 的 一 系列 有 序 步骤 。 安 全 协议 使 网 络 环境 下 
互 不 信任 的 通信 方 能 够 相互 配合 ,并 通过 安全 连接 和 安全 机 制 的 实现 来 保证 通信 过 程 的 安 
全 性 .可靠 性 和 公平 性 。 

4) 安全 策略 

安全 策略 是 安全 体制 .安全 连接 和 安全 协议 的 有 机 组 合 ,是 网 络 信息 系统 安全 性 的 完整 
解决 方案 。 安 全 策略 决定 了 网 络 信息 安全 系统 的 整体 安全 性 和 实用 性 ,不 同 的 网 络 信息 系 
统 和 不 同 的 应 用 环境 需要 不 同 的 安全 策略 。 


4.1.5 安全 威胁 
网 络 信息 的 安全 与 保密 所 面临 的 威胁 可 以 宏观 地 分 为 自然 威胁 和 人 为 威胁 。 人 为 威胁 
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通过 攻击 系统 暴露 的 要 害 或 弱点 ,使 网 络 信息 的 保密 性 、 完 整 性 .可 靠 性 .可 控 性 .可 用 人 性 等 
受到 伤害 。 

人 为 威胁 又 分 为 两 种 ,一 种 是 以 操作 失误 为 代表 的 无 意 威胁 (偶然 事故 ) , 另 一 种 是 以 计 
算 机 犯罪 为 代表 的 有 意 威胁 (恶意 攻击 )。 

恶意 攻击 包括 主动 攻击 和 被 动 攻击 ,被 动 攻 击 比 主动 攻击 隐蔽 性 强 , 不 易 被 察觉 ,危害 
性 更 大 。 

(1) 主动 攻击 : 有 选择 地 修改 、 删 除 、 添 加 、 伪 造 和 重 排 信息 内 容 , 造 成 信息 破坏 。 

(2) 被 动 攻击 : 在 不 干扰 网 络 信息 系统 正常 工作 的 情况 下 ,进行 侦 收 截获 .窃取 、 破 
译 、 业 务 流量 分 析 及 电磁 泄露 等 。 

常见 的 恶意 攻击 包括 窃听 、 流 量 分 析 、 假 冒 .拒绝 服务 .干扰 ,病毒 .资源 的 非 授 权 使 用 、 
利用 陷 门 进行 攻击 等 。 

1. 窃听 

在 广播 式 网 络 信息 系统 中 ,每 个 节点 都 能 读 取 网 上 的 数据 。 对 广播 网 络 的 同 轴 电 缆 或 
双 绞 线 进行 搭 线 窃听 ,很 容易 实现 且 不 易 被 发 现 。 

2. 流量 分 析 


通过 对 网 上 信息 流 的 观察 和 分 析 ,推断 出 网 上 的 数据 信息 ,如 有 无 传输 ,传输 的 数量 、 方 
向 、 频 率 等 。 

3. 利用 陷 门 进行 攻击 

所 谓 陷 门 是 指 一 个 程序 模块 的 秘密 的 、 未 记 入 文档 的 人 口 。 一 般 陷 门 是 在 程序 开发 时 
插入 的 一 小 段 程 序 , 其 目的 是 测试 这 个 模块 ,或 者 是 为 了 连接 将 来 的 更 改 和 升级 程序 ,或 者 
是 为 了 将 来 发 生 故 障 后 为 程序 员 提供 方便 等 。 通 常 在 程序 开发 后 期 将 去 掉 这 些 陷 门 ,但 是 
由 于 各 种 有 意 或 无 意 的 原因 , 陷 门 也 可 能 被 保留 下 来 。 

下 面 介绍 常见 的 陷 门 实例 。 

1) 逻辑 炸弹 

在 网 络 软件 (比如 程控 交换 机 的 软件 中 ) 预 留 隐藏 的 对 日 期 敏感 的 定时 炸弹 。 在 一 般 情 
况 下 ,网 络 处 于 正常 工作 状态 ,一 旦 到 了 某 个 预定 的 日 期 ,程序 便 自动 跳 到 死 循 环 程序 ,造成 
死机 甚至 网 络 瘫痪 。 

2) 远程 维护 

某 些 通信 设备 (比如 数字 程控 交换 机 ) 具 有 远程 维护 功能 ,可 以 通过 远程 终端 ,由 公开 预 
留 的 接口 进入 系统 ,完成 维护 检修 任务 。 这 种 功能 在 带 来 明显 的 维护 管理 便利 的 同时 ,也 带 
来 了 一 种 潜在 的 威胁 ,在 特定 情况 下 ,可 以 形成 潜在 的 攻击 。 

3) 贪 禁 程 序 

一 般 程 序 都 有 一 定 的 执行 时 限 ,如 果 程 序 被 有 意 或 错误 地 更 改 为 贪 禁 程序 或 循环 程序 ， 
或 被 植 人 某 些 病毒 (如 蠕虫 病毒 ) ,那么 此 程序 将 会 长 期 占用 机 时 ,造成 意外 阻塞 ,使 合法 用 
户 被 排挤 在 外 不 能 得 到 服务 。 

4) 遥控 旁 路 

某国 向 我 国 出 口 的 一 种 传真 机 ,其 软件 可 以 通过 遥控 将 加 密 接口 旁 路 ,从 而 失去 加 密 功 
能 ,造成 信息 泄露 ,如 图 4-1 所 示 。 
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电子 厢 合 


加 密 信号 和 原始 的 未 加 
密 信 号 都 在 电话 线 上 


图 4-1 遥控 旁 路 传真 机 


4.1.6 黑客 入 侵 攻 击 
黑客 人 侵 攻 击 的 过 程 可 归纳 为 以 下 9 个 步骤 : 踩点 ,扫描 、 查 点 、 获 取 访 问 权 、 权 限 提 


升 . 窃 取 、 掩 盖 踪 迹 、 创 建 后 门 .拒绝 服务 攻击 ,如 图 4-2 所 示 。 
使 用 Whois 、 DNS、 Google 收 集 目 


和 点 
SR 标 信号 
果 ， 查 看 目标 系统 在 哪 
扫描 此 通道 、 使 用 哪些 服务 以 及 使 用 的 
是 什么 操作 系统 等 
二 根据 扫描 ， 使 用 与 特定 操作 系统 / 
查 点 服务 相关 的 技术 收集 用 户 账户 、 共 享 
资源 及 export 等 信息 
发 起 攻击 


试图 成 为 Admin/root 或 


| 拒绝 服务 攻击 | | 权限 提升 站 
浊 
宫 取 | 改变、 添加、 出 除 及 复制 用 户 
1 
掩 六 踪迹 修改 /删除 系统 日 志 


创建 后 门 为 以 后 再 次 入 侵 做 准备 


图 4-2 黑客 入 侵 攻 击 流程 


1. 踩点 
“踩点 ”原意 为 策划 一 项 盗窃 活动 的 准备 阶段 ,在 黑客 攻击 领域 “踩点 ?是 传统 概念 的 电 


子 化 形式 。“ 踩 点 ”的 主要 目的 是 获取 目标 的 IP 地 址 范围 .DNS 服务 器 地 址 .邮件 服务 器 地 


址 等 信息 。 


2. 扫描 
通过 踩点 获得 一 定 信息 后 ,下 一 步 需 要 确定 目标 网 络 范围 内 哪些 系统 是 “活动 ”的 ,以 及 


它们 提供 哪些 服务 。 扫 描 的 主要 目的 是 使 攻击 者 对 攻击 的 目标 系统 所 提供 的 各 种 服务 进行 
评估 ,以 便 集中 精力 在 最 有 希望 的 途径 上 发 动 攻击 。 
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3. 查 点 


通过 扫描 ,入侵 者 掌握 了 目标 系统 所 使 用 的 操作 系统 ,下 一 步 工 作 是 查 点 。 查 点 就 是 搜 
索 特 定 系统 上 用 户 名 、 路 由 表 共享 资源 .服务 程 序 等 信息 。 

4. 获取 访问 权 

在 搜集 到 目标 系统 的 足够 信息 后 ,下 一 步 要 完成 的 工作 自然 是 得 到 目标 系统 的 访问 权 ， 
进而 完成 对 目标 系统 的 入侵 。 对 于 Windows 系统 采用 的 主要 技术 有 密码 猜测 、 窃 听 、 攻 击 
Web 服务 器 及 远程 缓冲 区 溢出 等 。 

5. 权限 提升 

一 旦 攻击 者 通过 前 面 4 步 获得 了 普通 用 户 的 访问 权限 后 ,攻击 者 就 会 试图 将 普通 用 户 
权限 提升 至 超级 用 户 权限 ,以 便 完成 对 系统 的 完全 控制 。 这 种 从 一 个 较 低 权限 开始 ,通过 各 
种 攻击 手段 得 到 较 高 权限 的 过 程 称 为 权限 提升 。 权 限 提升 所 采取 的 技术 是 通过 得 到 的 密码 
文件 ,利用 现 有 工具 软件 ,破解 系统 上 其 他 用 户 名 和 口令 。 

6. 窃取 

一 旦 攻击 者 得 到 了 系统 的 完全 控制 权 , 接 下 来 将 完成 的 工作 是 窃取 , 即 进 行 一 些 敏 感 数 
据 的 算 改 、 添 加 、 删 除 及 复制 (例如 Windows 系统 的 注册 表 ) 。 通 过 对 敏感 数据 的 分 析 ,为 进 
一 步 攻击 应 用 系统 做 准备 。 

7. 掩盖 踪迹 

黑客 并 非 踏 雪 无 痕 , 一 旦 黑客 人 侵 系 统 , 必 人 然 留 下 痕迹 。 此 时 ,黑客 需要 做 的 首要 工作 
就 是 清除 所 有 和 人 侵 痕迹 ,避免 自己 被 检测 出 来 ,以 便 能 够 随时 返回 被 和 人 侵 系 统 继续 干 坏事 或 
作为 入 侵 其 他 系统 的 中 继 跳板 。 掩 盖 踪 迹 的 方法 有 禁止 系统 审计 清空 事件 日 志 、 隐 藏 作案 
工具 等 。 

8. 创建 后 门 

黑客 的 最 后 一 招 便 是 在 受害 系统 上 创建 一 些 后 门 及 陷阱 ,以 便 入 侵 者 能 以 特权 用 户 的 
身份 控制 整个 系统 。 创 建 后 门 的 主要 方法 有 创建 具有 特权 用 户 权 限 的 虚假 用 户 账号 、 安 装 
批 处 理 ,安装 远程 控制 工具 、 使 用 木马 程序 替换 系统 程序 等 。 

2013 年 7 月 ,对 数 万 个 网 站 进行 扫描 的 结果 显示 ,存在 后 门 的 网 站 比例 高 达 33. 7%。 
从 已 经 发 现 的 网 站 后 门 样本 分 析 来 看 ,当前 黑客 在 网 站 中 植 入 后门 一 般 分 为 两 种 主要 类 型 : 
网 站 控制 类 木马 与 DDoS 脚本 木马 。 前 者 的 目的 是 为 了 入 侵 网 站 后 实施 控制 或 数据 窃取 ， 
后 者 的 目的 则 是 利用 这 个 网 站 的 服务 器 对 其 他 网 站 发 动 流量 攻击 。 

9. 拒绝 服务 攻击 

如 果 黑 客 未 能 成 功 地 完成 第 4 步 的 获取 访问 权 , 那 么 他 们 所 能 采取 的 最 恶毒 的 手段 便 
是 进行 拒绝 服务 攻击 。 即 使 用 精心 准备 好 的 漏洞 代码 攻击 系统 使 目标 服务 器 资源 耗 尽 或 资 
源 过 载 ,以 至 于 没有 能 力 再 向 外 提供 服务 。 攻 击 所 采用 的 方法 是 利用 协议 漏洞 和 系统 漏洞 。 


4.1.7 常用 黑客 软件 及 其 分 类 
要 实现 人 侵 攻击 ,需要 专门 的 工具 ; 而 防范 人 侵 攻击 ,也 需要 相应 的 工具 。 
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1. 按 性 质 分 类 

1) 扫描 类 软件 

通过 扫描 程序 ,黑客 可 以 找到 攻击 目标 的 IP 地 址 .开放 的 端口 号 服务 器 运行 的 版 本 、 
程序 中 可 能 存在 的 漏洞 等 。 

扫描 器 好 比 黑客 的 眼睛 , 它 可 以 让 黑客 清楚 地 了 解 目 标 , 有 经 验 的 黑客 可 以 将 目标 “ 摸 
得 一 清二 楚 ”, 这 对 于 攻击 来 说 是 至 关 重 要 的 。 同 时 扫描 器 也 是 网 络 管理 员 的 得 力 助 手 , 网 
络 管理 员 可 以 通过 它 了 解 自己 系统 的 运行 状态 和 可 能 存在 的 漏洞 ,在 黑客 “下 手 ” 之 前 将 系 
统 中 的 隐患 清除 ,保证 服务 器 的 安全 稳定 。 

2) 远程 监控 类 软件 

远程 监控 程序 实际 上 是 在 服务 器 上 运行 一 个 服务 端 软件 ,而 在 黑客 的 电脑 中 运行 一 个 
客户 端 软件 。 黑 客 利用 木马 程序 在 服务 器 上 开 一 个 端口 ,通过 它 对 服务 器 进行 监视 ,控制 。 

3) 病毒 和 蠕虫 

病毒 是 一 种 可 以 隐藏 复制 ,传播 自己 的 程序 ,这 种 程序 通常 具有 破坏 作用 。 蠕 虫 也 是 
一 段 程序 ,和 病毒 一 样 具 有 隐藏 复制、 传播 自己 的 功能 。 不 同 的 是 蠕虫 程序 通常 会 寻找 特 
定 的 系统 ,利用 其 中 的 漏洞 完成 传播 自己 和 破坏 系统 的 作用 ,另外 蠕虫 程序 可 以 将 收 到 的 被 
攻击 系统 中 的 资料 传送 到 黑客 手中 ,因而 蠕虫 是 介 于 木马 和 病毒 之 间 的 一 类 程序 。 

4) 系统 攻击 和 密码 破解 

这 类 软件 对 于 黑客 很 重要 ,因为 它 可 以 大 幅度 减少 黑客 的 某 些 烦琐 工作 ,使 用 者 经 过 对 
软件 的 设置 就 可 以 让 软件 自动 完成 重复 的 工作 ,或 者 由 软件 完成 大 量 的 猜测 工作 。 

系统 攻击 类 软件 主要 分 为 信息 炸弹 和 破坏 炸弹 。 网 络 上 常见 的 垃圾 电子 邮件 就 是 这 种 
软件 的 “杰作 ”, 聊 天 室 中 经 常 看 到 的 “ 踢 人 ”“ 骂 人 ”类 软件 ,论坛 的 垃圾 灌水 器 、 系 统 蓝 屏 炸 
弹 也 都 属于 此 类 软件 的 变异 形式 。 

密码 破解 类 软件 可 以 帮助 寻找 系统 登录 密码 ,相对 于 利用 漏洞 进行 系统 攻击 ,暴力 破解 
密码 要 简单 许多 ,但 是 效率 会 非常 低 。 

5) 监听 类 软件 

通过 监听 ,黑客 可 以 截获 网 络 信息 包 ,然后 对 加 密 的 信息 包 进 行 破解 ,进而 分 析 包 内 的 
数据 ,获得 有 关系 统 的 信息 ; 也 可 以 通过 截获 个 人 上 网 的 信息 包 , 分 析 得 到 上 网 账号 、 电 子 
邮件 账号 等 个 人 隐私 资料 。 在 大 多 数 的 情况 下 ,这 类 软件 是 提供 给 程序 开发 者 或 者 网 络 管 
理 员 进 行程 序 调试 或 服务 器 管理 工作 的 。 

2. 按 用 途 分 类 

1) 防范 

防火 墙 ` 查 病毒 软件 .系统 进程 监视 器 .端口 管理 程序 等 都 属于 此 类 软件 。 这 类 软件 可 
以 在 最 大 程度 上 保护 电脑 使 用 者 的 安全 和 个 人 隐私 。 而 日 志 分 析 软 件 、 系 统 入 侵 检 测 软 件 
等 可 以 帮助 管理 员 维 护 服务 器 并 对 入 侵 系统 的 黑客 进行 追踪 。 

2) 信息 搜集 

信息 搜集 软件 包括 端口 扫描 漏洞 扫描 、 弱 口令 扫描 等 扫描 类 软件 ; 监听 、 截 获 信息 包 
等 间谍 类 软件 。 无 论 是 黑客 、 系 统管 理 员 还 是 一 般 的 电脑 使 用 者 ,都 可 以 使 用 这 类 软件 完成 
各 自 不 同 的 目的 。 在 大 多 数 情 况 下 ,黑客 使 用 这 类 软件 的 频率 更 高 ,因为 他 们 需要 依靠 这 类 
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软件 对 服务 器 进行 全 方位 的 扫描 ,获得 尽 可 能 多 的 关于 服务 器 的 信息 ,在 对 服务 器 有 了 充分 
的 了 解 之 后 ,才能 进行 人 侵 。 

3) 木马 与 蠕虫 

这 是 两 种 类 型 的 软件 ,不 过 它们 的 工作 原理 大 致 相同 ,都 具有 病毒 的 隐藏 性 和 破坏 性 ， 
另外 此 类 软件 还 可 以 由 拥有 控制 权 的 人 进行 操作 ,或 由 事先 精心 设计 的 程序 完成 一 定 的 工 
作 。 当 然 这 类 软件 也 可 以 被 系统 管理 员 利用 , 当 作 远程 管理 服务 器 的 工具 。 

4) 洪水 

所 谓 * 洪 水 ? 即 信息 垃圾 炸弹 ,通过 大 量 的 垃圾 请 求 可 以 导致 目标 服务 器 超 负荷 而 崩溃 ， 
近年 来 网 络 上 流行 的 DoS 分 布 式 攻击 ,简单 地 说 也 可 以 归 入 这 类 软件 中 。“ 洪 水 ”软件 还 可 
以 用 作 邮 件 炸弹 或 者 聊天 室 炸 弹 ,这 些 都 是 经 过 简化 并 由 网 络 安全 爱好 者 程序 化 的 “傻瓜 

5) 密码 破解 

网 络 安全 得 以 保证 的 最 实用 的 方法 是 依靠 各 种 加 密 算法 的 密码 系统 。 黑 客 也 许可 以 很 
容易 获得 一 份 加 密 后 的 文件 ,但 是 如 果 没 有 加 密 算 法 , 它 仍然 无 法 获得 真正 的 密码 ,密码 破 
解 类 软件 利用 电脑 的 高 速 计算 能 力 ,通过 密码 字典 或 者 穷 举 等 方式 还 原 经 过 加 密 的 密 文 。 

6) 欺骗 

如 果 希 望 获得 上 面 提 到 的 明文 密码 ,黑客 需要 对 密 文 进行 加 密 算法 还 原 , 如 果 是 一 个 复 
杂 的 密码 ,破解 起 来 就 不 是 那么 简单 了 。 但 如 果 让 知道 密码 的 人 直接 告诉 黑客 具体 的 密码 ， 
岂 不 是 更 加 方便 ? 欺骗 类 软件 就 是 为 了 完成 这 个 目的 而 设计 的 。 

7) 伪装 

网 络 上 进行 的 各 种 操作 都 会 被 ISP 服务 器 记录 下 来 ,如 果 没 有 经 过 很 好 的 伪装 就 进行 
入侵, 很 容易 会 被 反 跟 踪 技 术 追 查 到 黑客 的 所 在 ,伪装 类 工具 可 以 伪装 自己 的 身份 和 IP 
地 址 。 


4.2 计算 机 病毒 


众所周知 的 生物 病毒 ,是 能 侵入 人 体 或 其 他 生物 体内 的 病原 体 。 当 它 潜 入 人 或 其 他 生 
物 内 的 细胞 后 ,将 会 大 量 繁殖 与 其 本 身 相仿 的 复制 品 。 这 些 复 制品 又 去 感染 其 他 健康 的 细 
胞 ,大 部 分 被 感染 的 细胞 会 因此 而 死亡 ,它们 是 非 人 为 的 具有 传染 性 和 杀伤 力 的 有 机 体 。 

计算 机 病毒 在 传染 性 ` 潜 伏 性 等 方面 类 似 于 生物 病毒 .是 一 种 能 人 侵 到 计算 机 和 计算 机 
网 络 、 危 害 其 正常 工作 的 “病原 体 ”, 是 人 为 的 具有 传染 性 、 潜 伏 性 特征 的 无 机 体 。 


4.2.1 计算 机 病毒 的 定义 


从 广义 上 讲 , 凡 能 够 引起 计算 机 故障 ,破坏 计算 机 数据 的 程序 统称 为 计算 机 病毒 。 计 算 
机 病毒 在 (中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 ) 中 的 定义 是 :“ 指 编制 或 者 在 计 
算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 数据 ,影响 计算 机 使 用 并 且 能 够 自我 复制 的 一 组 计 
算 机 指令 或 者 程序 代码 ”。 所 以 计算 机 病毒 是 一 种 特殊 的 计算 机 程序 , 它 可 以 修改 其 他 程序 
使 其 包含 该 病毒 程序 的 拷贝 ,一 般 不 能 独立 运行 ,需要 依附 在 其 他 可 运行 的 程序 上 , 随 该 程 
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序 的 执行 而 运行 。 
计算 机 病毒 由 传染 部 和 行动 部 组 成 ,传染 部 决定 病毒 蕊 延 的 速度 和 侵袭 的 范围 ,行动 部 
决定 病毒 危害 的 程度 。 


4.2.2 病毒 的 特点 


由 计算 机 病毒 的 定义 ,以 及 对 病毒 的 产生 、 来 源 、 表 现形 式 和 破坏 行为 的 分 析 , 计 算 机 病 
毒 具有 的 基本 特点 包括 : 传染 性 、 破 坏 性 ,隐蔽 性 、 潜 伏 性 、 可 触发 性 等 。 

1. 传染 性 

传染 性 又 称 自我 复制 、 自 我 繁殖 、 感 染 或 再 生 , 可 以 将 自身 的 拷贝 复制 到 其 他 对 象 。 
传染 性 是 计算 机 病毒 的 最 基本 特征 ,是 判断 一 个 计算 机 程序 是 否 为 计算 机 病毒 最 重要 的 
依据 。 

病毒 程序 一 旦 进入 计算 机 并 被 执行 ,就 会 对 系统 进行 监视 ,寻找 符合 其 传染 条 件 的 其 他 
程序 或 存储 介质 。 确 定 了 传染 目标 后 ,采用 附加 或 插入 等 方式 将 病毒 程序 自身 链接 到 这 个 
目标 之 中 ,该 目标 即 被 传染 ; 同时 这 个 被 传染 的 目标 又 成 为 新 的 传染 源 , 当 它 被 执行 以 后 ， 
去 传染 男 一 个 可 以 被 传染 的 其 他 目标 。 计 算 机 病毒 的 这 种 将 自身 复制 到 其 他 程序 之 中 的 
“再 生机 制 ”, 使 得 病毒 能 够 在 系统 中 迅速 扩散 。 

2. 破坏 性 

计算 机 病毒 的 破坏 性 表现 在 占用 系统 资源 、 破 坏 数 据 \ 干 扰 运 行 .摧毁 系统 等 方面 ,计算 
机 病毒 的 破坏 性 决定 了 它 的 危害 性 。 破 坏 性 是 每 一 个 计算 机 病毒 最 基本 的 特征 之 一 ,只 是 
破坏 性 的 程度 有 别 , 自 出 现 CIH 病毒 以 来 ,计算 机 病毒 的 主要 破坏 目标 和 攻击 部 件 由 系统 
数据 区 ,文件 向 攻击 硬件 的 方向 发 展 。 

3. 隐蔽 性 

病毒 依附 于 其 他 载体 存在 的 特性 称 为 病毒 的 隐蔽 性 。 隐 蔽 性 的 目的 是 为 了 躲避 计算 机 
病毒 检测 技术 ,使 之 不 被 用 户 或 病毒 防范 人 员 发 现 。 病 毒 一 般 是 具有 很 高 编程 技巧 、 短 小 精 
悍 的 程序 。 大 部 分 病毒 的 代码 之 所 以 设计 得 非常 短小 ,就 是 为 了 隐蔽 。 

4. 潜伏 性 

病毒 程序 进入 计算 机 之 后 ,一 般 情况 下 除了 传染 外 ,并 不 会 立即 发 作 , 而 是 在 系统 中 洪 
伏 一 段 时 间 。 只 有 当 其 特定 的 触发 条 件 满 足 后 , 才 会 激活 病毒 的 表现 模块 而 出 现 中 毒 症 状 。 

由 于 病毒 的 潜伏 性 ,用 户 意识 不 到 ,发 现 不 了 病毒 的 存在 ,使 得 病毒 向 外 传染 的 机 会 增 
多 ,病毒 传染 的 范围 更 加 广泛 。 

5. 可 触发 性 

传染 性 使 病毒 得 以 传播 ,破坏 性 体现 了 病毒 的 杀伤 能 力 。 频 繁 的 传染 和 破坏 会 使 病毒 
暴露 ,不 破坏 、 不 传染 会 使 病毒 失去 杀伤 力 。 病 毒 既 要 隐藏 又 要 维持 其 杀伤 力 , 它 必须 具有 
可 触发 性 。 

可 触发 性 就 是 指 病 毒 因 某 个 事件 或 数值 的 出 现 , 诱 使 病毒 实施 感染 或 进行 攻击 的 特性 。 
可 触发 性 是 病毒 的 攻击 性 和 潜伏 性 之 间 的 调节 杠杆 ,可 以 控制 病毒 感染 和 破坏 的 频 度 ,兼顾 
杀伤 力 和 潜伏 性 。 
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4.2.3 病毒 的 分 类 


计算 机 病毒 可 以 从 各 种 角度 进行 分 类 ,如 按 病毒 攻击 对 象 的 机 型 、 病 毒 攻击 的 操作 系 
统 、 病 毒 的 链接 方式 .病毒 的 寄生 和 传染 方式 以 及 病毒 给 计算 机 系统 带 来 的 后 果 等 方面 进行 
分 类 。 

按 病毒 攻击 对 象 的 机 型 分 类 : 攻击 微型 计算 机 的 病毒 .攻击 小 型 计算 机 的 病毒 .攻击 中 
大 型 计算 机 的 病毒 ,攻击 计算 机 网 络 的 病毒 。 

按 病毒 攻击 计算 机 的 操作 系统 分 类 : 攻击 Macintosh 系统 的 病毒 .攻击 DOS 系统 的 病 
毒 、 攻 击 Windows 系统 的 病毒 .攻击 UNIX 系统 的 病毒 .攻击 OS/2 系统 的 病毒 。 

按 计算 机 病毒 的 链接 方式 分 类 : 操作 系统 型 病毒 .外 壳 型 病毒 `. 嵌 和 人 型 病毒 、 源 码 型 
病毒 。 

按 计算 机 病毒 的 寄生 和 传染 方式 分 类 : 文件 型 病毒 .系统 引导 型 病毒 .混合 型 病毒 。 

按 给 计算 机 系统 带 来 的 后 果 分 类 : 恶性 病毒 “良性 "病毒 。 

1. 操作 系统 型 病毒 

操作 系统 型 病毒 用 其 自身 部 分 加 入 或 替代 操作 系统 的 某 些 功 能 ,它们 主要 针对 磁盘 的 
引导 扇 区 进行 攻击 ,有 的 还 能 同时 攻击 文件 分 配 表 。 在 一 般 情况 下 并 不 感染 磁盘 文件 ,而 是 
直接 感染 操作 系统 。 

2. 外 过 型 病毒 

外 壳 型 病毒 是 将 其 病毒 代码 插入 在 宿主 程序 的 头 部 或 尾部 ,来 改变 宿主 的 程序 代码 , 相 
当 于 给 宿主 程序 加 了 个 "外壳 ”, 病 毒 代码 与 宿主 程序 之 间 存 在 明显 的 界限 。 

3. 嵌入 型 病毒 

授信 型 病毒 将 自身 嵌入 其 宿主 程序 的 中 间 , 把 计算 机 病毒 主体 程序 与 其 攻击 的 对 象 以 
插入 的 方式 链接 。 

4. 源码 型 病毒 

源码 型 病毒 攻击 用 计算 机 高 级 语言 编写 的 源 程序 。 它 们 不 但 能 够 将 自身 插入 宿主 程序 
中 ,而 且 在 插入 后 还 能 与 被 插入 的 宿主 程序 一 起 编译 、 链 接 成 为 可 执行 文件 并 使 之 直接 
带 毒 。 

源码 型 病毒 可 用 汇编 语言 编写 , 亦 可 用 计算 机 高 级 语言 或 “ 宏 命令 编写。 目前 ,大 多 数 
源码 型 病毒 采用 Java、ActiveX 等 网 络 编程 语言 编写 。 

5. 文件 型 病毒 

指 那 些 专门 感染 可 执行 文件 (以 EXE 文件 和 COM 文件 为 主 ) 的 计算 机 病毒 。 大 多 数 
染 毒 的 可 执行 文件 字 节 明显 增 大 ,系统 可 用 空间 减少 ,显示 非法 信息 以 及 覆盖 重要 文件 , 造 
成 系统 死机 等 ,如 黑色 星期 五 病毒 ,DIR-2 病毒 ,瀑布 病毒 .维也纳 病毒 等 。 

在 文件 型 病毒 中 ,EXE 文件 曾经 是 计算 机 病毒 的 主要 寄生 场所 。 大 多 数 EXE 文件 病 
毒 寄生 在 该 文件 的 末尾 ,同时 修改 了 文件 头 的 数据 ,把 原来 的 文件 头 数据 保存 到 病毒 代码 之 
中 。 和 运行 该 文件 时 ,病毒 代码 首先 运行 ,然后 再 执行 EXE 文件 原来 的 程序 。 

感染 带 有 宏 的 数据 文件 的 计算 机 宏 病 毒 则 是 新 一 代 的 文件 型 病毒 。 
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6. 系统 引导 型 病毒 

引导 型 病毒 是 一 种 在 ROM BIOS 之 后 ,系统 引导 时 出 现 的 病毒 , 它 先 于 操作 系统 执行 ， 
依托 的 环境 是 BIOS 中 断 服务 程序 。 

引导 型 病毒 寄生 的 场所 是 主 引 导 扇 区 和 逻辑 引导 扇 区 。 病 毒 寄生 在 引导 扇 区 后 ,将 真 
正 的 引导 程序 转移 或 替换 ,系统 启动 时 ,病毒 获得 控制 权 , 待 病毒 程序 执行 后 ,再 将 控制 权 交 
给 原来 真正 的 引导 程序 ,使 得 这 个 带 病毒 的 系统 看 似 正 常 运转 ,而 病毒 已 隐藏 在 系统 中 ,并 
伺机 传染 .发作 ,从 而 使 得 这 类 病毒 具有 很 大 的 传染 性 和 危害 性 。 

系统 引导 型 病毒 常 驻 计算 机 引导 区 ,通过 改变 计算 机 引导 区 的 正常 分 区 来 达到 破坏 的 
目的 。 

常见 的 引导 型 病毒 有 大 麻 病 毒 、 小 球 病毒 等 。 

7. 混合 性 病毒 

混合 性 病毒 既 感染 引导 区 又 感染 可 执行 文件 ,具有 引导 型 病毒 和 文件 型 病毒 的 寄生 方 
式 ,如 新 世纪 病毒 .口令 蠕虫 .冲击 波 病毒 等 。 

8. 恶性 病毒 

恶性 病毒 指 那些 一 旦 发 作 或 在 传染 过 程 中 会 破坏 系统 数据 ,删除 文件 ,甚至 摧毁 计算 机 
系统 的 危害 性 极 大 的 计算 机 病毒 。 如 黑色 星期 五 病毒 ,每 着 星期 五 又 是 13 日 ,就 会 删除 磁 
盘 上 和 系统 中 所 有 正在 执行 的 文件 ,从 而 给 用 户 带 来 难以 挽回 的 损失 ; 又 如 磁盘 杀手 病毒 ， 
发 作 时 会 把 硬盘 上 的 数据 一 块 一 块 地 进行 破坏 ,直至 全 部 破坏 为 止 。 

9.“ 良 性 "病毒 

“良性 ”病毒 指 那些 只 是 为 了 表现 自己 ,并 不 破坏 系统 和 数据 的 计算 机 病毒 。 如 1575 病 
毒 发 作 时 ,会 在 屏幕 上 显示 * 绿 毛虫 ”的 信息 ,并 不 破坏 系统 和 文件 .“ 和 良性 ?病毒 并 非 没 有 危 
害 ,它们 会 大 量 占用 CPU 资源 ,增加 系统 开销 ,降低 系统 工作 效率 。 

由 于 同一 种 病毒 可 能 集 多 种 特征 于 一 体 , 因 此 同一 种 病毒 可 能 会 存在 多 种 不 同 的 分 类 
结果 。 


4.2.4 计算 机 病毒 在 磁盘 中 的 存储 


储存 在 引导 区 的 计算 机 病毒 通常 采用 替代 法 ,病毒 程序 把 自己 的 部 分 或 全 部 代码 替代 
原 正 常 文件 的 部 分 或 全 部 ; 存储 在 用 户 空间 的 病毒 一 般 采 用 链接 法 ,把 病毒 程序 和 原 正 常 
文件 链接 在 一 起 。 

链接 法 可 分 为 文件 头 链接 ,文件 尾 链接 和 文件 中 链接 三 种 。 

1. 文件 头 链接 

病毒 链接 于 被 攻击 文件 的 头 部 。 病 毒 程序 寄生 于 合法 程序 的 开始 处 ,只 要 执行 该 程序 ， 
首先 运行 的 是 病毒 ,病毒 立即 获得 对 系统 的 控制 权 。 

2. 文件 尾 链接 

病毒 链接 于 被 攻击 文件 的 尾部 。 病 毒 程序 寄生 于 合法 程序 的 最 后 ,但 在 合法 程序 的 开 
始 处 增加 了 “goto 病毒 程序 语句。 只 要 执行 该 程序 ,病毒 同样 先 获得 对 系统 的 控制 权 。 
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3. 文件 中 链接 


病毒 链接 于 被 攻击 文件 的 中 间 。 病 毒 程序 寄生 于 合法 程序 的 中 间 ,但 在 合法 程序 的 开 
始 处 增加 了 ”goto 病毒 程序 ”。 只 要 执行 该 程序 ,计算 机 病毒 也 先 获得 对 系统 的 控制 权 。 但 
这 种 病毒 程序 设计 较为 困难 ,目前 的 链接 型 病毒 都 链接 于 合法 程序 的 头 部 和 尾部 。 


4.2.5 计算 机 病毒 的 构成 


计算 机 病毒 是 以 现代 计算 机 系统 为 环境 而 存在 发 展 的 ,因此 , 它 的 结构 由 计算 机 软件 和 
硬件 环境 所 决定 。 通 常 计算 机 病毒 程序 包括 三 大 模块 , 即 引 导 模 块 、 传 染 模块 和 表现 /破坏 
模块 。 传 染 模块 是 病毒 程序 的 一 个 重要 组 成 部 分 , 它 负责 病毒 的 传染 工作 ,主要 完成 寻找 目 
标 ,检查 目标 文件 中 是 否 有 传染 标记 (如 果 没 有 传染 标记 , 则 进行 传染 ) ,将 病毒 程序 和 传染 
标记 放 入 宿主 程序 中 等 工作 。 破 坏 模块 负责 病毒 的 破坏 工作 。 后 两 个 模块 各 包含 了 一 段 触 
发 条 件 检查 代码 ,分 别 检查 是 否 满足 传染 和 表现 /破坏 的 触发 条 件 , 只 有 在 满足 相应 条 件 时 ， 
计算 机 病毒 才 会 进行 传染 或 表现 /破坏 。 

1. 引导 模块 


引导 模块 的 作用 是 将 病毒 由 外 存 引 入 内 存 , 使 传染 模块 和 表现 /破坏 模块 处 于 活动 
状态 。 
系统 启动 时 ,病毒 程序 的 引导 模块 率先 将 自身 的 程序 代码 引入 并 驻 留 在 内 存 中 ,获得 系 
统 的 控制 权 , 随 后 引入 正常 的 操作 系统 。 只 要 触发 条 件 得 到 满足 ,就 立即 触发 病毒 ,对 未 被 
感染 的 磁盘 进行 传染 。 

引导 模块 的 工作 方式 是 通过 非 授 权 加 载 ,将 分 散 的 病毒 程序 在 非法 占用 的 存储 空间 进 
行 重新 装配 ,构成 一 个 整体 病毒 程序 ,使 静态 病毒 激活 成 为 动态 病毒 。 

1) 静态 病毒 

静态 病毒 是 指 存储 介质 (如 软盘 、 硬 盘 、 磁 带 等 ) 上 的 计算 机 病毒 ,由 于 没有 处 于 加 载 状 
态 , 故 不 能 执行 病毒 的 传染 或 破坏 作用 。 

2) 动态 病毒 

动态 病毒 是 指 已 进入 内 存 , 处 于 运行 状态 ,或 通过 某 些 中 断 能 立即 获得 运行 权 的 计算 机 
病毒 。 

引导 模块 还 会 对 内 存 的 病毒 代码 采取 保护 措施 ,以 避免 病毒 程序 被 覆盖 。 在 完成 病毒 
程序 的 安装 后 ,对 内 存 中 的 病毒 代码 采取 保护 措施 ,使 之 不 被 覆盖 。 然 后 执行 正常 的 系统 功 
能 ,以 隐蔽 和 保护 自己 。 

2. 传染 模块 

传染 是 病毒 最 基本 的 特征 之 一 ,是 病毒 的 再 生机 制 。 传 染 模块 的 作用 就 是 将 病毒 传染 
到 其 他 对 象 上 去 。 该 模块 一 般 包 括 两 部 分 内 容 , 即 传染 条 件 判 断 部 分 和 传染 部 分 (大 多 数 病 
毒 都 带 有 传染 标志 ,一 般 来 说 ,如 果 某 个 目标 有 该 病毒 的 特殊 标识 ,就 不 再 向 该 目标 传染 ) 。 
一 旦 发 现 攻击 目标 后 ,判断 部 分 检查 是 否 有 病毒 的 传染 标识 以 及 其 他 的 特定 条 件 ,符合 条 件 
才 会 执行 传染 部 分 ,从 而 把 病毒 全 部 链接 到 被 传染 的 攻击 目标 之 上 。 

在 单机 环境 下 ,计算 机 病毒 的 传染 途径 有 : 通过 磁盘 引导 扇 区 进行 传染 、 通 过 操作 系统 
文件 进行 传染 、 通 过 应 用 程序 文件 进行 传染 。 
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在 Internet 中 ,病毒 的 传播 还 可 以 通过 电子 邮件 、Web 页 面 进行 。 

基于 计算 机 病毒 技术 的 发 展 趋势 ,可 以 预料 ,通过 电磁 波 进行 传染 的 病毒 也 是 有 可 能 出 
现 的 。 

3. 表现 /破坏 模块 

病毒 程序 的 引导 模块 和 传染 模块 是 为 表现 /破坏 模块 服务 的 。 表 现 / 破 坏 模块 的 作用 就 
是 实施 病毒 的 表现 及 破坏 作用 , 它 也 分 为 触发 条 件 判 断 部 分 和 表现 /破坏 部 分 。 

表现 /破坏 模块 可 以 在 第 一 次 病毒 代码 加 载 时 运行 ,也 可 能 在 第 一 次 病毒 代码 加 载 时 ， 
只 将 引导 模块 引入 内 存 , 然 后 再 通过 触发 某 些 中 断 机 制 而 运行 。 

一 般 情 况 下 ,病毒 是 基于 一 个 或 若干 个 触发 条 件 都 满足 的 情况 下 才 触 发 其 表现 /破坏 功 
能 的 。 触 发 条 件 一 般 有 以 下 几 类 : 与 系统 时 钟 有 关 的 以 时 间 .日 期 和 星期 等 作为 触发 条 件 ; 
以 计数 作为 触发 条 件 , 当 满足 某 个 设 定 值 时 , 即 触发 病毒 ; 上述 两 类 触发 条 件 的 逻辑 运算 以 
及 其 他 工作 触发 条 件 。 


4.2.6 计算 机 病毒 的 传染 机 制 


计算 机 病毒 的 传染 是 指 病毒 由 一 定 载体 携带 ,从 一 个 计算 机 系统 (或 文件 ) 进 入 另 一 个 
计算 机 系统 (或 文件 ) 的 过 程 。 

计算 机 病毒 与 生物 病毒 一 样 ,有 其 自身 的 病毒 体 ( 病 毒 程序 ) 和 寄生 体 。 寄 生体 为 病毒 
提供 一 种 生存 环境 ,是 一 合法 程序 ,这 样 合 法 程序 就 成 了 病毒 程序 的 寄生 体 ,或 称病 毒 程序 
的 载体 。 通 常 合法 程序 被 称 为 宿主 或 宿主 程序 。 

病毒 可 寄生 于 合法 程序 的 任何 位 置 , 当 病毒 程序 寄生 于 合法 程序 后 ,病毒 就 成 了 程序 的 
一 部 分 ,并 在 程序 中 占有 合法 的 地 位 。 感 染 后 的 程序 相当 于 在 原 合法 程序 中 嵌入 了 病毒 程 
序 。 为 了 增强 活力 ,病毒 程序 通常 寄生 于 一 个 或 多 个 被 频繁 调用 的 程序 中 ,并 伺机 感染 更 多 
的 程序 。 

计算 机 病毒 对 宿主 程序 实施 感染 的 过 程 和 方法 是 由 病毒 的 传染 机 制 决定 的 。 病 毒 的 传 
染 机 制 , 即 它 的 传染 方式 ,是 由 病毒 程序 制造 者 在 编写 病毒 程序 时 规定 的 。 

1. 计算 机 病毒 的 传染 过 程 

计算 机 病毒 的 传染 过 程 与 生物 学 病毒 的 传染 过 程 非常 相似 , 它 寄生 在 宿主 程序 中 ,进入 
计算 机 后 借助 操作 系统 和 宿主 程序 的 运行 ,自我 复制 ,大 量 繁殖 。 

系统 引导 型 病毒 在 传染 时 ,把 原来 引导 记录 的 内 容 存 储 到 磁盘 的 某 个 扇 区 ,而 把 病毒 程 
序 存放 在 原来 引导 记录 位 置 处 。 

文件 型 病毒 传染 的 手法 通常 有 添加 和 嵌入 。 添 加 就 是 把 病毒 程序 添加 到 文件 的 头 部 和 
尾部 ; 嵌入 则 是 将 病毒 程序 代码 直接 存放 在 可 执行 程序 的 未 用 代码 和 数据 段 内 。 

计算 机 病毒 传染 的 一 般 过 程 为 : 

(1) 当 计算 机 运行 染 毒 的 宿主 程序 时 ,病毒 夺取 控制 权 。 

(2) 寻找 感染 的 突破 口 。 

(3) 将 病毒 程序 嵌入 感染 目标 中 。 

当 操作 系统 程序 作为 病毒 的 宿主 程序 时 ,病毒 代码 替换 磁盘 的 Boot 扇 区 、 主 引导 扇 区 ， 
而 把 Boot 区 的 引导 程序 移 到 其 他 位 置 。 因 为 引导 扇 区 先 于 其 他 程序 获得 对 CPU 的 控制 ， 
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病毒 代码 通过 把 自己 放 和 引导 扇 区 ,就 可 以 立刻 控制 整个 系统 。 病 毒 代 码 代替 了 原始 的 引 
导 扇 区 信息 ,并 把 原始 的 引导 肩 区 信息 移 到 磁盘 的 其 他 扇 区 。 当 操作 系统 需要 访问 引导 数 
据 信息 时 ,病毒 会 将 其 引导 到 存储 引导 信息 的 新 扇 区 ,从 而 使 操作 系统 无 法 发 觉 信息 被 挪 到 
了 新 的 地 方 。 另 外 ,病毒 的 一 部 分 仍 驻 留 在 内 存 中 , 当 新 的 磁盘 插入 时 ,病毒 就 会 把 自己 写 
到 新 的 磁盘 上 。 当 这 个 盘 被 用 于 另 一 台 机 器 时 ,病毒 就 会 以 同样 的 方法 传播 到 那 台 机 器 的 
引导 扇 区 上 。 这 类 病毒 称 为 引导 型 病毒 。 

对 于 文件 型 的 病毒 来 说 ,病毒 程序 是 在 运行 其 宿主 程序 时 被 装 入 内 存 的 ,应 用 程序 只 有 
在 被 运行 时 才 有 系统 控制 权 。 这 时 ,病毒 会 夺取 系统 控制 权 , 先 运行 病毒 程序 ,再 运行 应 用 
程序 。 但 是 , 当 应 用 程序 运行 结束 后 ,控制 权 又 交还 给 系统 ,这 时 病毒 程序 已 经 无 用 武之 地 
了 。 所 以 ,寄生 在 应 用 程序 中 的 病毒 只 在 一 段 短暂 的 时 间 内 活动 ,不 会 引起 大 范围 的 感染 。 
正 因 如 此 ,有 相当 多 的 病毒 具有 驻 留 内 存 的 功能 ,虽然 应 用 程序 运行 结束 ,但 病毒 并 不 随 应 
用 程序 消失 ,而 是 继续 潜伏 在 计算 机 内 存 中 ,并 可 继续 获得 感染 机 会 。 常 驻 内 存 的 病毒 一 旦 
进入 计算 机 ,就 会 长 期 潜伏 ,只 要 不 进行 热 启动 . 冷 启动 或 关机 , 它 会 一 直 在 内 存 中 监视 计 算 
机 的 运行 ,一 旦 触发 条 件 满足 ,就 进行 感染 和 破坏 。 

2. 传染 途径 和 传染 范围 

计算 机 病毒 传染 的 途径 有 两 种 : 一 是 利用 磁性 存储 介质 ,如 磁盘 或 磁带 等 作为 传染 载 
体 , 另 一 种 是 利用 网 络 作为 传染 载体 。 

计算 机 病毒 载体 扩散 区 域 称 为 计算 机 病毒 的 传染 范围 。 

计算 机 病毒 从 其 出 现 到 广泛 实施 攻击 并 传播 开 来 需要 一 段 时 间 , 这 段 时 间 称 为 计算 机 
病毒 实施 攻击 时 间 。 

3. 计算 机 病毒 的 交叉 感染 

计算 机 病毒 的 交叉 感染 指 多 种 计算 机 病毒 存在 于 同一 个 宿主 程序 中 。 此 时 ,病毒 代码 
会 分 散在 宿主 程序 的 头 部 和 尾部 ,其 感染 方式 可 能 是 多 种 病毒 一 次 感染 ,也 可 能 是 多 种 病毒 
同时 交叉 重复 感染 。 

交叉 感染 是 由 于 在 一 台 潜 伏 着 多 种 病毒 的 计算 机 上 运行 某 一 程序 引起 的 。 计 算 机 病 
毒 的 交叉 感染 会 导致 病毒 之 间 的 相互 影响 ,它们 争夺 寄生 位 置 和 传染 控制 权 ,造成 病毒 
作用 的 复杂 化 ,给 检测 和 清除 病毒 带 来 一 定 的 困难 ,有 时 还 会 导致 染 有 病毒 的 磁盘 无 法 
使 用 。 

4. 病毒 发 射 枪 

病毒 发 射 枪 是 一 种 新 型 计算 机 病毒 发 射 起 器 ,其 载体 和 运输 工具 是 激光 或 电磁 波 ,其 原 
理 和 发 射 生物 病毒 炮弹 颇 为 相同 。 

生物 病毒 的 运载 工具 是 炮弹 ,将 装 有 病毒 和 细菌 的 空心 炮弹 发 射 到 敌人 阵地 或 后 方 , 使 
其 迅 狂 传 染 , 杀 伤 敌人 的 有 生 力 量 。 病 毒 发 射 枪 则 利用 激光 或 电磁 波 腺 控 技术 ,将 载 有 计算 
机 病毒 程序 的 激光 或 电磁 波 发 送 到 指定 目标 ,同时 遥控 和 激活 病毒 。 

病毒 发 射 枪 的 出 现 ,结束 了 病毒 单一 的 传染 方式 一 接触 传染 的 历史 。 


4.2.7 计算 机 病毒 的 表现 和 破坏 
病毒 必须 具备 良好 的 潜伏 性 才能 不 被 人 们 发 现 ,但 是 它 的 最 终 目的 不 是 潜伏 而 是 破坏 。 
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为 达到 这 个 目的 ,病毒 需要 进行 大 范围 的 感染 。 病 毒 的 感染 动作 和 破坏 行为 是 由 它 的 触发 
机 制 决定 的 ,病毒 的 触发 机 制 用 来 控制 感染 和 破坏 动作 的 频率 。 在 病毒 的 触发 机 制 中 ,病毒 
制造 者 预先 规定 了 触发 条 件 , 病 毒 只 有 在 触发 条 件 满足 时 才 进 行 感染 和 破坏 ,否则 一 直 
潜伏 。 

1. 计算 机 病毒 的 表现 破坏 模块 

计算 机 病毒 的 表现 破坏 模块 是 计算 机 病毒 的 主体 部 分 ,也 是 计算 机 病毒 的 核心 。 表 现 
破坏 模块 包括 触发 条 件 部 分 和 执行 表现 破坏 部 分 。 

触发 是 指 在 一 定 条 件 下 对 于 表现 破坏 功能 的 调用 过 程 ,包括 时 钟 触发 .功能 触发 等 。 表 
现 破 坏 部 分 根据 破坏 程度 分 为 可 恢复 性 破坏 和 不 可 恢复 性 破坏 两 类 。 

2. 病毒 的 触发 条 件 

病毒 的 触发 条 件 包括 病毒 感染 的 触发 条 件 和 病毒 发 作 的 触发 条 件 。 病 毒 感染 的 触发 条 
件 是 指 当 这 部 分 条 件 满足 时 ,病毒 即 开始 传播 ,感染 其 他 程序 ; 病毒 发 作 的 触发 条 件 是 指 当 
发 作 部 分 的 条 件 满足 时 , 染 毒 程序 即 开始 进行 计算 机 的 破坏 行为 。 通 常 病毒 感染 的 触发 条 
件 较 宽松 。 过 于 苛刻 的 触发 条 件 ,可 能 使 病毒 有 好 的 潜伏 性 ,但 不 易 传 播 ,只 具有 低 杀 伤 力 。 
过 于 宽松 的 触发 条 件 将 导致 频繁 感染 与 破坏 ,容易 暴露 ,导致 用 户 做 反 病 毒 处 理 , 也 不 能 有 
大 的 杀伤 力 。 

对 病毒 程序 来 说 ,设计 一 个 合理 的 触发 条 件 十 分 重要 。 病 毒 在 感染 或 破坏 之 前 ,往往 要 
检查 触发 条 件 是 否 满足 , 若 满足 则 进行 感染 或 破坏 。 

常见 的 病毒 触发 条 件 有 日 期 触发 .时 间 和 触发 .键盘 触发 .感染 触发 .启动 触发 .访问 磁盘 
次 数 触发 ,调用 中 断 功能 触发 .CPU 型 号 触发 .打开 邮件 触发 .随机 触发 .利用 系统 或 工具 软 
件 的 漏洞 触发 等 。 

1) 日 期 触发 

病毒 程序 将 触发 条 件 设置 为 某 些 指定 的 日 期 ,日 期 触发 病毒 的 方式 通常 有 : 每 月 某 日 
定期 触发 . 某 月 某 日 定期 触发 .以 某 日 为 界 分 时 段 触发 三 种 。 

采用 每 月 某 日 定期 触发 的 病毒 较 常见 ,如 2002 年 2 月 开始 流行 的 求职 信 病 毒 ,在 奇数 
月 份 的 第 6 天 , 即 1 月 6 日 .3 月 6 日 .5 月 6 日 等 ,将 一 些 文件 大 小 置 零 (相当 于 删除 文件 且 
不 可 恢复 ) ,如 图 4-3 所 示 。 
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某 月 某 日 定期 触发 病毒 是 将 病毒 的 触发 条 件 固 定 为 某 月 某 日 ,该 日 期 到 时 病毒 激活 。 
如 欢乐 时 光 的 触发 日 期 是 3 月 10 日 , 当 发 作 日 期 到 来 时 ,病毒 将 硬盘 中 的 所 有 可 执行 文件 
用 自己 的 代码 覆盖 掉 。 

以 某 日 为 界 , 在 其 指定 的 日 期 之 前 进行 感染 ,一 旦 到 了 规定 的 日 期 ,就 开始 进行 破坏 操 
作 。 如 暴乱 者 病毒 以 1990 年 8 月 15 日 为 界 ,1990 年 8 月 15 日 以 前 ,病毒 感染 现行 目录 的 
一 个 COM 文件 ,使 被 感染 文件 增长 1055B; 1990 年 8 月 15 日 以 后 ,不 进行 感染 ,而 是 将 硬 
盘 的 第 一 磁道 格式 化 。 

2) 时 间 触 发 

时 间 触 发 主要 有 特定 时 间 触 发 、 染 毒 后 累积 工作 时 间 触 发 .文件 最 后 写 入 时 间 触 发 
三 种 。 
特定 时 间 触 发 方式 是 指 病毒 程序 对 时 间 进 行 判别 , 当 到 达 某 一 特定 时 刻 时 ,病毒 发 作 ， 
执行 破坏 行为 。 如 1999 年 3 月 26 日 发 现 的 梅 莉 莎 病毒 , 当 机 器 的 分 钟 值 与 当前 日 期 相同 
时 和 触发 ,造成 拒绝 服务 攻击 或 用 户 信息 的 泄漏 ,如 图 4-4 所 示 。 


图 4-4 梅 莉 莎 病毒 


染 毒 后 累积 工作 时 间 触 发 是 指 感染 病毒 后 对 机 器 的 工作 时 间 计 时 , 当 达 到 一 定 的 时 间 
后 触发 。 如 磁盘 杀手 病毒 对 PC 每 秒 13. 2 次 的 时 钟 中 断 进行 计数 , 当 计 数值 达到 300000H 
时 ,病毒 被 触发 。 这 时 ,键盘 死 锁 , 一 些 杂 乱 数 据 被 写 人 硬盘 ,直至 全 部 数据 被 毁坏 为 止 。 

有 些 时 间 触 发 病毒 是 以 文件 最 后 写 人 时间 触发 的 。 例 如 ,1991 年 5 月 产 于 意大利 的 研 
究 性 病毒 Ah, 平 时 它 感染 COM 文件 , 染 毒 文件 增长 1173B。 当 发 现 原文 件 的 最 后 写 人 时 
间 是 12:00 时 ,将 破坏 被 感染 的 文件 。 

3) 键盘 触发 

键盘 触发 包括 按键 次 数 触 发 .组 合 键 触发 . 热 启动 触发 等 。 

通过 按键 次 数 触发 的 典型 病毒 有 产 于 墨西哥 的 魔鬼 之 舞 (Devil's Dance) 病 毒 。 该 病毒 
运行 时 ,感染 当前 目录 中 的 所 有 COM 文件 ,感染 后 文件 长 度 增 加 941B。 该 病毒 监视 键盘 ， 
在 2000 次 按键 时 ,改变 显示 器 颜色 ,在 5000 次 按键 时 ,破坏 硬盘 FAT 表 。 

组 合 键 触 发 病毒 监视 键盘 操作 , 当 接受 到 某 种 特定 的 组 合 键 动作 时 病毒 发 作 。 典 型 的 
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组 合 键 触 发 病毒 是 Yap 病毒 ,每 当 用 户 按 Alt 键 或 Alt 与 其 他 键 的 组 合 键 时 ,屏幕 上 会 出 现 
许多 “臭虫 "图案 ,将 屏幕 上 的 其 他 字符 都 吃 掉 。 用 户 如 果 再 按 Alt 或 Alt 键 与 其 他 键 的 组 
合 键 时 屏幕 恢复 正常 。 

热 启动 触发 是 当 系 统 执行 热 启动 操作 时 ,引发 病毒 。 如 1990 年 9 月 产 于 台湾 的 入 侵 者 
(Invader) 病 毒 , 当 计 算 机 热 启动 ( 按 下 Ctrl 十 Alt 十 Delete 组 合 键 ) 时 ,病毒 发 作 ,系统 硬盘 第 

-磁道 的 数据 被 破坏 。 

4) 感染 触发 

感染 触发 方式 包括 运行 感染 文件 个 数 触发 .感染 序数 触发 .感染 磁盘 数 触 发 和 感染 失败 
触发 。 

运行 感染 文件 个 数 触发 类 病毒 是 将 病毒 的 触发 条 件 设置 为 机 器 运行 感染 文件 的 个 数 ， 
当 计 算 机 运行 时 ,病毒 程序 开始 对 机 器 运行 的 染 毒 文件 个 数 进行 计数 , 当 到 达 某 一 预先 设置 
的 文件 个 数 时 ,病毒 发 作 。 如 黑色 星期 一 病毒 对 运行 的 病毒 程序 进行 计数 , 当 计算 机 运行 第 
240 个 染 毒 程序 时 ,病毒 发 作 ,格式 化 硬盘 。 

感染 序数 触发 类 病毒 将 触发 条 件 设置 为 该 病毒 所 感染 过 的 文件 个 数 , 当 计算 机 运行 时 ， 
病毒 程序 开始 对 该 病毒 感染 的 文件 个 数 进行 计数 , 当 感 染 到 第 个 文件 时 ,病毒 触发 ,这 种 
触发 方式 称 为 感染 序数 触发 。 与 运行 感染 文件 个 数 触发 不 同 的 是 ,感染 序数 触发 是 对 自身 
感染 的 文件 个 数 计数 ,而 运行 感染 文件 个 数 触 发 是 既 对 自身 感染 的 文件 计数 ,又 对 其 他 病毒 
程序 感染 过 的 文件 计数 。 如 1990 年 3 月 产 于 保加利亚 的 研究 性 病毒 VHP2 ,每 感染 8 个 文 
件 , 就 会 引起 热 启动 。 

感染 磁盘 数 触发 病毒 对 感染 的 磁盘 进行 计数 ,并 以 达到 某 计 数值 为 触发 条 件 。 如 1987 
年 的 Golden Gate 病毒 (金门 病毒 ) ,对 感染 磁盘 的 次 数 计数 , 当 感 染 第 500 张 磁盘 时 ,病毒 
发 作 ,格式 化 硬盘 。 

感染 失败 触发 类 病毒 是 在 病毒 感染 时 ,将 病毒 感染 失败 作为 触发 条 件 ,用 以 激活 病毒 。 
如 Recovery 病毒 将 当前 目录 中 的 COM 文件 全 部 感染 后 ,再 实施 感染 将 会 失败 ,这 时 ,病毒 
发 作 , 将 目录 中 的 所 有 EXE 文件 改 为 COM 文件 。 
:Happy New Year 1999 1! 5) 打开 邮件 触发 

这 类 病毒 一 般 是 借助 于 电子 邮件 这 个 通信 工具 来 
传播 的 , 随 着 E-mail 的 广泛 使 用 ,这 类 病毒 的 品种 也 越 
来 越 多 。 当 用 户 预 览 邮件 或 者 运行 附件 的 时 候 就 满足 
了 该 类 病毒 的 触发 条 件 。 这 类 病毒 大 致 可 分 为 两 种 : 

-种 是 以 普通 邮件 方式 出 现 , 另 一 种 是 以 节日 问候 类 邮 

件 出 现 。 

普通 邮件 型 病毒 往往 会 选择 比较 具有 诱惑 性 的 主 
题 ,引诱 邮件 接收 者 打开 邮件 ,如 Happy99 病毒 。 当 运 
行 E-mail 中 附件 名 为 Happy99. exe 的 文件 时 (也 可 能 
采用 其 他 文件 名 ) ,屏幕 上 就 会 自动 打开 一 个 窗口 ,显示 
以 黑色 为 底 色 的 满 天 烟 火 , 如 图 4-5 所 示 。 此 后 ,只 要 
发 信和 夹带 附件 就 死机 。 重 新 启动 计算 机 后 ,仍然 不 能 发 
图 4-5 Happy99 病毒 送 夹 带 附件 的 信 ; 如 果 不 夹带 附件 ,可 以 发 信 , 但 是 
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Happy99 会 悄悄 附 在 信 中 ,对 方 如果 运 行程 序 , 即 被 感染 。 这 样 ,这 个 病毒 可 能 在 不 知 不 觉 
中 传染 给 所 联络 的 每 个 朋友 ,而 后 又 假借 他 们 的 邮件 传染 给 更 多 的 对 象 。 

节日 问候 型 邮件 病毒 借助 一 些 特定 的 日 期 传播 给 网 络 用 户 , 尤 其 是 一 些 节日 , 当 人 
们 沉浸 在 节日 的 快乐 中 时 ,往往 就 放松 了 警惕 ,很 容易 打开 这 些 带 有 病毒 的 邮件 。 典 型 
的 有 “新 年 快乐 病毒 ”, 携 带 这 种 病毒 的 电子 邮件 以 “新 年 快乐 !1” 为 主题 ,包含 一 个 名 为 
Happynewyear. txt. vbs 的 附件 。 一 旦 这 个 附件 被 打开 ,病毒 就 会 进入 用 户 的 计算 机 系统 ， 
在 系统 中 开 一 个 “后 门 "。 感 染病 毒 的 计算 机 会 自动 向 微软 电子 邮件 软件 Outlook 地 址 短 中 
所 有 的 电子 信箱 发 送 带 毒 邮件 。 

6) 利用 系统 或 工具 软件 的 漏洞 触发 

这 类 病毒 专门 攻击 带 有 某 一 漏洞 的 系统 或 者 工具 软件 。 当 该 病毒 在 网 络 上 探测 到 某 个 
带 有 漏洞 的 终端 用 户 时 , 它 就 通过 网 络 感染 该 系统 ,然后 自动 运行 ,进行 破坏 行为 。 如 “红色 
代码 ”病毒 通过 微软 公司 IIS 系统 漏洞 进行 感染 ,造成 的 破坏 主要 是 涂改 网 页 ,对 网 络 上 的 
其 他 服务 器 进行 攻击 ,被 攻击 的 服务 器 又 可 以 继续 攻击 其 他 服务 器 。 

3. 病毒 的 表现 破坏 形式 

不 同 的 计算 机 病毒 均 有 自己 特定 的 不 同 程度 的 表现 破坏 行为 ,其 表现 破坏 形式 不 外 平 
以 下 几 种 : 

(1) 计算 机 系统 引导 速度 和 运行 速度 明显 减 慢 。 

(2) 计算 机 显示 屏 上 出 现 无 意义 的 画面 ,诱惑 性 的 信息 或 时 钟 倒转 。 

(3) 计算 机 经 常 无 端 死 机 或 重新 启动 。 

(4) 系统 不 能 识别 磁盘 或 硬盘 不 能 引导 系统 。 

(5) 删除 修改 某 些 系统 文件 ,系统 的 配置 出 现 错误 。 

(6) 磁盘 坏 簇 (或 坏 扇 区 ) 无 端 增 多 。 

(7) 磁盘 上 出 现 异常 文件 (出 现 一 些 不 可 见 的 表格 文件 或 特定 的 毫 无 意义 的 垃圾 数据 ， 
自动 生成 一 些 具有 特殊 文件 名 的 文件 ) 。 

(8) 磁盘 上 原 有 的 正常 文件 不 能 运行 。 

(9) 异常 访问 存储 系统 ,如 磁盘 驱动 器 的 存 取 指示 灯 一 直 亮 着 ,其 至 在 无 访问 操作 时 也 
是 如 此 。 

(10) 磁盘 卷 标 异常 变化 ,系统 不 能 识别 硬盘 。 

(11) 程序 运行 时 出 现 异 常 现象 ,产生 与 原 设计 不 相符 的 运行 结果 。 

(12) 文件 的 长 度 、 建 立 日 期 或 属性 发 生变 化 。 

(13) 文件 丢失 ,损坏 、 无 法 正确 读 取 或 复制 。 

(14) 不 应 驻 留 内 存 的 程序 驻 留 内 存 。 

(15) 打印 机 的 工作 速度 减 慢 .有 时 产生 死 锁 现 象 。 

(16) 鼠标 失控 。 

(17) Windows 操作 系统 频繁 出 错 。 

(18) Word 和 Excel 提示 执行 宏 。 

(19) 计算 机 系统 的 蜂 鸣 器 发 出 异常 声响 。 

(20) 虚假 报警 或 异常 要 求 用 户 输入 口令 。 

(21) 覆盖 磁盘 的 启动 磁道 和 目录 表 , 使 磁盘 变 成 一 块 废 盘 。 
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(22) 可 执行 文件 被 无 端 删 除 。 
(23) 干扰 键盘 的 正常 操作 。 


4.2.8 计算 机 病毒 的 检测 与 防范 


计算 机 病毒 的 防范 既 包 括 在 技术 层面 上 采取 措施 ,更 需要 在 管理 层面 和 法 律 法 规 层 
面 上 采取 措施 。 只 有 高 度 重视 管理 层面 ,对 计算 机 信息 系统 使 用 人 员 的 行为 加 以 规范 ， 
才能 使 计算 机 病毒 防范 工作 真正 落 到 实处 ,从 而 确保 计算 机 信息 系统 和 信息 网 络 的 运行 
安全 。 

在 技术 层面 上 ,计算 机 反 病 毒 技术 包括 三 个 部 分 : 计算 机 病毒 的 检测 技术 .计算 机 病毒 
的 清除 技术 ,计算 机 病毒 的 预防 技术 。 

1. 计算 机 病毒 的 检测 技术 

计算 机 病毒 检测 是 指 检 查 在 特定 环境 中 是 否 存在 计算 机 病毒 ,并 能 够 准确 地 报 出 病毒 
名 称 ,检查 的 对 象 可 以 是 内 存 、 文 件 、 磁 盘 引 导 区 等 。 

病毒 检测 的 目的 是 发 现 、 确 认 和 报告 是 否 存在 病毒 ,为 病毒 的 消除 提供 依据 。 

1) 病毒 的 检测 

计算 机 病毒 检测 通常 有 手工 检测 和 自动 检测 两 种 方法 。 

(1) 手工 检测 。 

手工 检测 是 指 通过 一 些 软件 工具 CDEBUG .PCTOOLS NU .SYSINFO 等 ) 提 供 的 功能 
进行 病毒 的 检测 。 这 种 方法 比较 复杂 ,需要 检测 者 熟悉 机 器 指令 和 操作 系统 ,因而 无 法 普 
及 。 它 的 基本 过 程 是 利用 一 些 工 具 软 件 , 对 易 遭 病毒 攻击 和 修改 的 内 存 及 磁盘 的 有 关 部 分 
进行 检查 ,通过 与 正常 情况 下 的 状态 进行 对 比分 析 ,来 判断 是 否 被 病毒 感染 。 这 种 方法 检测 
病毒 , 费时 费力 ,但 可 以 剖析 新 病毒 ,检测 识别 未 知 病毒 ,可 以 检测 一 些 自动 检测 工具 不 认识 
的 新 病毒 。 

(2) 自动 检测 。 

自动 检测 是 指 通 过 一 些 杀 毒 软件 来 检测 系统 或 磁盘 是 否 有 毒 的 方法 。 自 动 检测 比较 简 
单 , 一 般 用 户 都 可 以 进行 ,但 需要 较 好 的 杀毒 软件 。 这 种 方法 可 以 方便 地 检测 大 量 的 病毒 ， 
但 是 ,自动 检测 工具 只 能 识别 已 知 病毒 ,而 且 自 动 检测 工具 的 发 展 总 是 滞后 于 病毒 的 发 展 ， 
所 以 检测 工具 对 一 些 未 知 病毒 不 能 识别 。 

手工 检测 方法 操作 难度 大 ,技术 复杂 , 它 需 要 操作 人 员 有 一 定 的 软件 分 析 经 验 以 及 对 操 
作 系 统 有 一 定 的 深入 了 解 。 而 自动 检测 方法 操作 简单 ,使 用 方便 ,适合 于 一 般 的 计算 机 用 户 
学 习 使 用 。 但 是 ,由 于 计算 机 病毒 的 种 类 较 多 ,程序 复杂 ,再 加 上 不 断 出 现 病毒 的 变种 ,所 以 
自动 检测 方法 不 可 能 检测 所 有 未 知 的 病毒 。 在 出 现 一 种 新 型 病毒 时 ,如 果 现 有 的 各 种 杀毒 
工具 无 法 检测 这 种 病毒 , 则 只 能 用 手工 方法 进行 病毒 的 检测 。 其 实 , 自 动 检 测 也 是 在 手工 检 
测 成 功 的 基础 上 把 手工 检测 方法 程序 化 后 所 得 到 的 。 因 此 ,手工 检测 病毒 是 最 基本 和 最 有 
力 的 工具 。 

2) 病毒 命名 规则 

杀毒 软件 报告 中 出 现 的 病毒 名 大 体 都 是 采用 一 个 统一 的 命名 规则 来 命名 的 ,其 一 般 格 
式 为 
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< 病毒 前 级 >. < 病毒 名 >. < 病毒 后 级 > 


病毒 前 级 指 一 个 病毒 的 种 类 ,不 同 种 类 的 病毒 ,其 前 级 也 是 不 同 的。 如 常见 的 木马 病毒 
的 前 级 是 Trojan ,蠕虫 病毒 的 前 缀 是 Worm 等 。 

病毒 名 指 一 个 病毒 的 家 族 特征 ,用 来 区 别 和 标识 病毒 家 族 。 如 著名 的 CIH 病毒 的 家 族 
名 都 是 统一 的 CIH ,振荡 波 蠕虫 病毒 的 家 族 名 是 Sasser 等 。 

病毒 后 缀 是 指 一 个 病毒 的 变种 特征 ,用 来 区 别 具 体 某 个 家 族 病毒 的 某 个 变种 。 一 般 都 
采用 英文 中 的 26 个 字母 来 表示 ,如 Worm. Sasser. b 指 振荡 波 蠕 虫 病毒 的 变种 B, 因 此 一 般 
称 为 “振荡 波 B 变种 ”或 者 “振荡 波 变 种 B"。 如 果 该 病毒 变种 非常 多 (也 表明 该 病毒 生命 力 
顽强 ) ,可 以 采用 数字 与 字母 混合 表示 变种 标识 。 

常见 病毒 类 型 与 病毒 前 级 如 表 4-1 所 示 。 

表 4-1 病毒 类 型 与 病毒 前 缀 


病毒 类 型 病毒 前 组 
系统 病毒 Win32、PE、Win95、W32、W95 等 。 感染 Windows 操作 系统 的 * .exe 和 x*. dll 文 
件 ,并 通过 这 些 文件 进行 传播 ,如 CIH 病毒 
蠕虫 病毒 Worm。 通 过 网 络 或 系统 漏洞 进行 传播 ,如 冲击 波 (阻塞 网 络 ), 小 邮差 (发 带 毒 邮 
件 ) 等 
木马 病毒 木马 病毒 其 前 级 是 : Trojan, 黑 客 病毒 前 级 名 一 般 为 Hack 
黑客 病毒 木马 病毒 通过 网 络 或 者 系统 漏洞 进入 用 户 的 系统 并 隐藏 ,然后 向 外 界 泄露 用 户 的 


信息 ; 黑客 病毒 有 一 个 可 视 的 界面 ,能 对 用 户 的 电脑 进行 远程 控制 。 它 们 往往 是 
成 对 出 现 的 , 即 木马 病毒 负责 侵入 用 户 的 电脑 ,而 黑客 病毒 则 会 通过 该 木马 病毒 来 
进行 控制 ,现在 两 者 越 来 越 趋向 于 整合 

脚本 病毒 Script。 使 用 脚本 语言 编写 ,通过 网 页 进行 的 传播 的 病毒 ,如 红色 代码 (Script. 
Redlof) 。 脚 本 病毒 还 会 有 以 下 前 级 : VBS、JS( 表 明 是 何 种 脚本 编写 的 ) ,如 欢乐 时 
光 (VBS. Happytime) .十 四 日 (Js. Fortnight. c. s) 

宏 病 毒 脚本 病毒 的 一 种 ,前 级 是 : Macro, 如 美丽 莎 (Macro. Melissa) 

后 门 病毒 Backdoor。 通 过 网 络 传播 ,给 系统 开 后 门 , 给 用 户 的 电脑 带 来 安全 隐患 ,如 IRC 后 
门 Backdoor. IRCBot 

病毒 种 植 程序 病毒 ”Dropper。 运 行 时 会 从 体内 释放 出 一 个 或 几 个 新 的 病毒 到 系统 目录 下 ,由 释放 出 来 
的 新 病毒 产生 破坏 ,如 冰河 播种 者 (Dropper. BingHe2. 2C) 

破坏 性 程序 病毒 Harm。 本 身 具有 好 看 的 图 标 来 诱惑 用 户 单 击 , 当 用 户 单 击 这 类 病毒 时 ,病毒 便 会 
直接 对 用 户 的 计算 机 产生 破坏 ,如 格式 化 C 盘 (Harm. formatC. 了 f) 


玩笑 病毒 Joke。 本 身 具有 好 看 的 图 标 来 诱惑 用 户 单 击 , 当 用 户 单 击 这 类 病毒 时 ,病毒 会 做 出 
各 种 破坏 操作 来 吓 距 用 户 , 如 女 鬼 (Joke. Girlghost) 病 毒 
捆绑 机 病毒 Binder。 使 用 特定 的 捆绑 程序 将 病毒 与 一 些 应 用 程序 如 QQ、IE 捆绑 起 来 , 当 用 户 


运行 这 些 捆绑 病毒 时 ,会 表面 上 运行 这 些 应 用 程序 ,然后 隐藏 运行 捆绑 在 一 起 的 病 
毒 , 如 捆绑 QQ(Binder. QQPass. QQBin) 


3) 病毒 检测 的 原理 

病毒 检测 的 原理 包括 利用 病毒 特征 代码 串 的 特征 代码 法 、 利 用 文件 内 容 校 验 的 校 验 和 
法 、 利 用 病毒 特有 行为 特征 的 行为 监测 法 、 用 软件 虚拟 分 析 的 软件 模拟 法 、 比 较 被 检测 对 象 
与 原始 备份 的 比较 法 ,利用 病毒 特性 进行 检测 的 感染 实验 法 以 及 运用 反 汇编 技术 分 析 被 检 
测 对 象 确认 是 否 为 病毒 的 分 析 法 。 
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(1) 特征 代码 法 。 

特征 代码 法 被 认为 是 用 来 检测 已 知 病毒 的 最 简单 .开销 最 小 的 方法 。 其 原理 是 将 所 有 
病毒 的 代码 加 以 剖析 ,并 且 将 这 些 病 毒 独 有 的 特征 搜集 在 一 个 病毒 特征 码 资料 库 中 ,简称 
“病毒 库 ”。 检测 时 ,以 扫描 的 方式 将 待 检测 程序 与 病毒 库 中 的 病毒 特征 码 一 一 对 比 ,如 果 发 
现 有 相同 的 代码 , 则 可 判定 该 程序 已 遭 病毒 感染 。 

特征 代码 法 检测 准确 .快速 ,能 识别 病毒 的 名 称 , 误 报 率 低 ,并 能 依据 检测 结果 ,做 相应 
的 杀毒 处 理 等 优点 。 但 该 方法 不 能 检测 未 知 病毒 ,同时 ,对 于 搜集 已 知 病毒 的 特征 代码 , 费 
用 开销 大 。 

(2) 校 验 和 法 。 

校 验 和 法 是 根据 正常 文件 的 内 容 . 计 算 其 “ 校 验 和 ”, 将 该 校 验 和 写 入 文件 中 保存 。 在 文 
件 使 用 过 程 中 ,定期 地 或 每 次 使 用 文件 前 ,检查 根据 文件 现 有 内 容 算出 的 校 验 和 与 原来 保存 
的 校 验 和 是 否 一 致 ,以 此 来 发 现 文件 是 否 感染 病毒 。 采 用 校 验 和 法 检测 病毒 , 既 可 发 现 已 知 
病毒 又 可 发 现 未 知 病毒 。 在 许多 常用 的 检测 工具 中 ,都 采用 了 这 种 方法 。 

校 验 和 法 不 能 识别 病毒 种 类 ,不 能 报 出 病毒 名 称 。 由 于 病毒 感染 并 非 文 件 内 容 改 变 的 
唯一 原因 ,文件 内 容 的 改变 有 可 能 是 正常 程序 引起 的 ,所 以 校 验 和 法 常常 误 报 ,而 且 这 种 方 
法 也 会 影响 文件 的 运行 速度 。 

病毒 感染 的 确 会 引起 文件 内 容 变 化 ,但 是 校 验 和 法 对 文件 内 容 的 变化 太 敏感 ,又 不 能 区 
分 正常 程序 引起 的 变动 。 当 已 有 软件 版 本 更 新 、 变 更 口令 或 修改 运行 参数 时 , 校 验 和 法 都 会 
误 报 。 

校 验 和 法 对 隐蔽 性 病毒 无 效 。 因 为 隐蔽 性 病毒 进驻 内 存 后 ,会 自动 剥 去 染 毒 程序 中 的 
病毒 代码 ,使 校 验 和 法 受骗 ,对 一 个 有 毒 文件 算出 正常 校 验 和 。 

校 验 和 法 的 优点 是 : 方法 简单 .能 发 现 未 知 病毒 .被 查 文件 的 细微 变化 也 能 发 现 。 缺 点 
是 : 必须 预先 记录 正常 状态 的 校 验 和 、 会 误 报 ,不 能 识别 病毒 名 称 、 不 能 对 付 隐蔽 型 病毒 。 

(3) 行为 监测 法 。 

利用 病毒 的 特有 行为 特征 来 监测 病毒 的 方法 , 称 为 行为 监测 法 。 

通过 对 病毒 多 年 的 观察 研究 ,人 们 发 现 有 一 些 行为 是 病毒 的 共同 行为 ,而 且 比 较 特殊 ， 
如 抢占 INT 13H 号 中 断 、 修 改 DOS 系统 数据 区 的 内 存 总 量 ,更改 COM、EXE 文件 内 容 等 。 
当 程序 运行 时 ,监视 其 行为 ,如 果 发 现 了 病毒 行为 ,立即 报警 。 

采用 行为 监测 法 检测 病毒 可 发 现 未 知 病毒 ,但 也 可 能 误 报 或 不 能 识别 病毒 名 称 。 

(4) 软件 模拟 法 。 

多 态 性 病毒 每 次 感染 后 其 病毒 代码 都 会 发 生变 化 ,对 付 这 种 病毒 ,特征 代码 法 失效 。 因 
为 多 态 性 病毒 代码 实施 密码 化 ,而 且 每 次 所 用 密 钥 不 同 , 把 染 毒 文件 中 的 病毒 代码 相互 比 
较 , 也 各 不 相同 ,无 法 找 出 相同 的 可 能 作为 特征 的 稳定 代码 。 虽 然 行为 检测 法 可 以 检测 多 态 
性 病毒 ,但 是 在 检测 出 病毒 后 ,由 于 不 知 病毒 的 种 类 .难以 做 杀毒 处 理 。 

为 了 检测 多 态 性 病毒 ,国外 研制 了 新 的 检测 方法 一 一 软件 模拟 法 。 它 是 一 种 软件 分 析 
器 ,用 软件 方法 来 模拟 和 分 析 程 序 的 运行 ,并 演绎 为 在 虚拟 机 上 进行 查 毒 .启发 式 查 毒 等 ,是 
相对 成 熟 的 技术 。 

新 型 检测 工具 纳入 了 软件 模拟 法 ,这 类 工具 开始 运行 时 ,使 用 特征 代码 法 检测 病毒 ,如 
果 发 现 隐蔽 病毒 或 多 态 性 病毒 嫌疑 时 .启动 软件 模拟 模块 ,监视 病毒 的 运行 , 待 病毒 自身 的 
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密码 译 码 以 后 ,再 运用 特征 代码 法 来 识别 病毒 的 种 类 。 

(5) 比较 法 。 

比较 法 是 用 原始 备份 与 被 检测 的 引导 扇 区 或 被 检测 的 文件 进行 比较 的 方法 。 

比较 法 包括 长 度 比较 法 内容 比 较 法 ,内存 比 较 法 .中 断 比较 法 等 。 这 种 比较 法 不 需要 
专用 的 查 病毒 程序 ,只 要 用 常规 DOS 软件 和 PCTOOLS 等 工具 软件 就 可 以 进行 。 

比较 法 还 可 以 发 现 那些 尚 不 能 被 现 有 查 病 毒 程序 发 现 的 计算 机 病毒 。 因 为 病毒 传播 很 
快 ,新 病毒 层出不穷 ,而 目前 还 没有 通用 的 能 查 出 一 切 病毒 、 或 通过 代码 分 析 可 以 判定 某 个 
程序 中 是 否 含有 病毒 的 查 毒 程序 ,发现 新 病毒 就 只 有 靠 比 较 法 和 分 析 法 ,有 时 必须 结合 这 两 
者 一 同 工 作 。 

(6) 感染 实验 法 。 

感染 实验 法 是 一 种 简单 实用 的 病毒 检测 方法 。 由 于 病毒 检测 工具 落后 于 病毒 的 发 展 ， 
当 病 毒 检测 工具 不 能 发 现 病毒 时 ,采用 感染 实验 法 可 以 检测 出 病毒 检测 工具 不 认识 的 新 病 
毒 ,可 以 摆脱 对 病毒 检测 工具 的 依赖 ,自主 地 检测 可 疑 新 病毒 。 

感染 实验 法 的 原理 是 利用 病毒 的 感染 性 。 所 有 的 病毒 都 会 进行 感染 ,如 果 不 会 感染 ,就 
不 称 其 为 病毒 。 如 果 系 统 中 有 异常 行为 ,最 新 版 的 检测 工具 也 查 不 出 病毒 时 ,就 可 以 使 用 感 
染 实 验 法 : 运行 可 疑 系统 中 的 程序 后 ,再 运行 一 些 确切 知道 不 带 毒 的 正常 程序 ,然后 观察 这 
些 正常 程序 的 长 度 和 校 验 和 ,如 果 发 现 有 的 程序 增长 ,或 者 校 验 和 发 生变 化 ,就 可 断言 系统 
中 有 病毒 。 

(7) 分 析 法 。 

使 用 分 析 法 要 求 具有 比较 全 面 的 有 关 计 算 机 、DOS 结构 和 功能 调用 以 及 关于 病毒 方面 
的 各 种 知识 。 使 用 分 析 法 的 人 一 般 是 反 病 毒 技 术 人 员 。 

分 析 的 步 又 分 为 动态 和 静态 两 种 。 静 态 分 析 是 指 利 用 DEBUG 等 反 汇 编程 序 将 病毒 代 
码 打印 成 反 汇 编 后 的 程序 清单 进行 分 析 ,看 病毒 分 成 哪些 模块 ,使 用 了 哪些 系统 调用 ,采用 
了 哪些 技巧 ,然后 将 病毒 感染 文件 的 过 程 转换 为 清除 病毒 ,修复 文件 的 过 程 ,决定 哪些 代码 
可 被 用 做 特征 码 以 及 如 何 防 御 这 种 病毒 。 

动态 分 析 是 指 利用 DEBUG 等 程序 调试 工具 在 内 存 带 毒 的 情况 下 ,对 病毒 做 动态 跟踪 ， 
观察 病毒 的 具体 工作 过 程 ,以 进一步 在 静态 分 析 的 基础 上 理解 病毒 工作 的 原理 。 在 病毒 编 
码 比 较 简单 的 情况 下 ,动态 分 析 不 是 必须 的 。 但 当 病 毒 采用 了 较 多 的 技术 手段 时 ,必须 使 用 
动静 相 结合 的 分 析 方法 才能 完成 整个 分 析 过 程 。 

2. 计算 机 病毒 的 清除 技术 

计算 机 病毒 的 清除 是 指 将 计算 机 病毒 从 感染 对 象 中 清除 的 过 程 。 计 算 机 病毒 的 清除 技 
术 一 般 采用 还 原 技 术 ,根据 病毒 的 传染 方式 设计 反 病毒 程序 。 根 据 不 同类 型 病毒 的 感染 方 
式 , 需 要 采取 不 同 的 方法 进行 恢复 。 如 对 破坏 性 传染 的 病毒 ( 即 采 用 部 分 覆盖 方式 传染 的 病 
毒 ) ,只 能 用 未 被 破坏 的 正常 程序 去 覆盖 ,以 达到 清除 病毒 的 目的 ; 对 于 宏 病 毒 的 清除 ,要 清 
除 指向 宏 的 链接 及 宏 本 身 。 

将 病毒 从 感染 对 象 中 清除 以 后 ,要求 恢复 到 被 感染 之 前 的 状态 。 对 内 存 中 的 病毒 ,要 将 
被 病毒 修改 的 中 断 向 量 表 、 函 数 入 口 等 恢复 为 原 值 ; 对 文件 中 的 病毒 ,要 将 病毒 修改 的 程序 
入 口 指针 恢复 为 原 值 清除 文件 中 的 病毒 体 等 ; 对 引导 区 中 的 病毒 ,将 引导 区 的 内 容 恢复 ， 
使 磁盘 中 的 操作 系统 能 正常 启动 .将 分 区 表 等 关键 信息 恢复 为 原 值 。 
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下 面 是 清除 计算 机 病毒 的 步 又 : 

(1) 必须 对 系统 破坏 程度 有 一 个 全 面 的 了 解 ,并 根据 破坏 的 程度 来 决定 采用 有 效 的 计 
算 机 病毒 清除 方法 和 对 策 。 

如 果 受 破坏 的 大 多 是 系统 文件 和 应 用 程序 文件 ,并 且 感 染 程 度 较 深 ,那么 可 以 采取 重 装 
系统 的 办 法 来 达到 清除 计算 机 病毒 的 目的 。 而 当 感 染 的 是 关键 数据 文件 ,或 比较 严重 的 时 
候 , 如 硬件 被 CIH 计算 机 病毒 破坏 ,就 可 以 考虑 请 防 杀 计算 机 病毒 专家 来 进行 清除 和 数据 
恢复 工作 。 

(2) 修复 前 , 尽 可 能 再 次 备份 重要 的 数据 文件 。 目 前 防 杀 计算 机 病毒 软件 在 杀毒 前 一 
般 都 能 够 保存 重要 的 数据 和 感染 的 文件 ,以 便 在 误杀 或 造成 新 的 破坏 时 恢复 现场 。 但 是 对 
那些 重要 的 用 户 数 据 文件 还 是 应 该 在 杀毒 前 手工 单独 进行 备份 ,备份 不 能 做 在 被 感染 破坏 
的 系统 内 ,也 不 应 该 与 平时 的 常规 备份 混在 一 起 。 

(3) 启动 杀毒 软件 ,并 对 整个 硬盘 进行 扫描 。 某 些 计 算 机 病毒 在 Windows 95/98 状态 
下 无 法 完全 清除 (如 CIH 计算 机 病毒 ) ,此 时 应 使 用 事先 准备 的 未 感染 计算 机 病毒 的 DOS 
系统 软盘 启动 系统 ,然后 在 DOS 下 运行 相关 杀毒 软件 进行 清除 。 

(4) 发 现 计 算 机 病毒 后 ,一 般 应 利用 杀毒 软件 清除 文件 中 的 计算 机 病毒 ,如 果 可 执行 文 
件 中 的 计算 机 病毒 不 能 被 清除 ,一 般 应 将 其 删除 ,然后 重新 安装 相应 的 应 用 程序 。 

(5) 杀毒 完成 后 ,重启 计算 机 ,再 次 用 杀毒 软件 检查 系统 中 是 否 还 存在 计算 机 病毒 ,并 
确定 被 感染 破坏 的 数据 确实 被 完全 恢复 。 

(6) 对 于 杀毒 软件 无 法 杀 除 的 计算 机 病毒 ,还 应 将 计算 机 病毒 样本 送 交 防 杀 计算 机 病 
毒 软件 厂商 的 研究 中 心 ,以 供 详细 分 析 。 

3. 计算 机 病毒 的 预防 技术 

计算 机 病毒 的 预防 ,是 指 通 过 建立 合理 的 计算 机 病毒 预防 体系 和 制度 ,及 时 发 现 计 算 机 
病毒 人 侵 , 并 采取 有 效 的 手段 阻止 计算 机 病毒 的 传播 和 破坏 ,恢复 受 影响 的 计算 机 系统 和 
数据 。 

计算 机 病毒 的 检测 和 清除 是 一 种 被 动 的 方法 ,而 计算 机 病毒 的 预防 则 是 一 种 主动 的 手 
段 。 预 防 方式 包括 采用 管理 手段 预防 和 采用 技术 手段 预防 。 

1) 管理 手段 预防 

加 强 对 计算 机 系统 使 用 的 管理 ,制定 一 些 管理 措施 (如 限制 使 用 外 来 程序 等 ) 来 防止 计 
算 机 病毒 的 侵入 。 管 理 措施 对 病毒 的 预防 是 通过 牺牲 系统 数据 共享 的 灵活 性 而 换 得 系统 安 
全 性 的 。 

2) 技术 手段 预防 

通过 免疫 软件 和 预警 软件 等 技术 措施 来 预防 计算 机 病毒 对 系统 的 入 侵 ,常用 的 技术 手 
段 包括 

(1) 病毒 免疫 技术 : 对 执行 程序 附加 一 段 程序 ,这 段 附加 的 程序 负责 执行 程序 的 完整 
性 检验 ,发 现 问题 时 自动 恢复 原 程序 。 

(2) 校 验 码 技术 : 对 系统 内 的 有 关 程 序 代码 按照 一 定 的 算法 ,计算 出 其 特征 参数 并 加 
以 保存 ,执行 程序 代码 时 进行 校 验 。 

(3) 病毒 行为 规则 判定 技术 : 采用 人 工 智 能 的 方法 ,归纳 出 病毒 的 行为 特征 ,进行 
比较 。 


第 4 章 计算 机 网 络 安全 技术 147 


(4) 计算 机 病毒 防火 墙 : 采用 一 种 实时 双向 过 滤 技 术 ,起 到 “双向 过 滤 ” 的 作用 ,具有 对 
病毒 过 滤 的 实时 性 。 对 系统 的 所 有 操作 实时 监控 ,一 方面 将 来 自 外 部 环境 的 病毒 代码 实时 
过 滤 掉 , 男 一 方面 阻止 病毒 在 本 地 系统 扩散 或 向 外 部 环境 传播 。 

在 与 病毒 的 对 抗 中 ,及 早 发 现 病毒 是 关键 之 一 。 病 毒 往往 都 有 一 个 潜伏 期 ,如 果 能 在 病 
毒 发 作 之 前 及 时 发 现 ,就 可 以 采取 对 应 措施 进行 清除 以 避免 其 发 作 , 而 且 也 能 够 尽量 缩小 病 
毒 的 传播 范围 。 显 然 , 阻 止 病毒 的 入 侵 比 病毒 人 侵 后 再 去 发 现 和 排除 它 重 要 得 多 。 


4.2.9 计算 机 病毒 的 发 展 历史 及 趋势 


计算 机 病毒 由 来 已 久 ,最 初 它们 只 是 一 些 恶作剧 ,如 今 有 的 已 经 发 展 成 了 军事 武器 。 
家 名 为 Computer Virus Catalog 的 网 站 对 计算 机 病毒 历史 进行 了 研究 ,在 这 份 历史 榜 单 中 ， 
病毒 主要 集中 在 DOS 时 代 , 特 别 是 20 世纪 90 年 代 末 ,是 病毒 的 繁荣 期 。 后 来 ,病毒 大 都 以 
可 视 化 的 形式 出 现 , 如 电子 邮件 蠕虫 病毒 ,还 有 让 电脑 屏幕 布 满 绿色 真菌 的 病毒 等 。 

此 外 ,每 个 病毒 的 风格 都 是 不 一 样 的 , 像 Cookie Monster 这 样 的 病毒 属于 玩笑 式 的 病 
毒 ,而 像 Stuxnet 则 会 对 企业 带 来 灾难 ,让 中 毒 者 心 生 念 惧 。 随 着 时 间 的 推移 ,病毒 的 破坏 
范围 也 变 得 越 来 越 大 。 之 前 的 电脑 病毒 只 是 破坏 几 台 电脑 ,而 现在 则 可 以 让 数 百 万 台 计 算 
机 中 毒 ,而 且 还 能 在 全 球 范围 内 传播 。 在 Stuxnet 病毒 出 现 之 后 , 军 方 也 开始 涉足 病毒 行 
业 。 曾 经 作为 一 个 恶作剧 存在 的 病毒 ,或 是 最 多 给 企业 带 来 损失 的 病毒 ,如 今 也 已 经 上 升 到 

了 国家 安全 这 一 层面 了 。 

人 类 在 20 世纪 40 年 代 研 制 出 了 第 一 台 计 算 机 ,1949 年 Von Neomanm 提出 了 计算 机 
程序 自我 复制 的 概念 ,勾画 出 了 计算 机 病毒 的 蓝图 。1971 年 ,根据 卡通 片 ( 史 酷 比 (Scooby 
Doo) ) 中 的 一 个 形象 命名 的 计算 机 病毒 Creeper 出 现 。 当 然 在 那 时 ,Creeper 还 尚未 被 称 为 
病毒 ,因为 计算 机 病毒 尚 不 存在 。Creeper 由 BBN 技术 公司 程序 员 罗 伯 特 ， 托马斯 (Robert 
Thomas) 编 写 ,通过 阿 帕 网 (ARPANET, 互 联网 前 身 ) 从 公司 的 DEC PDP-10 传播 ,显示 
ITm the creeper,catch me if you can! Creeper 在 网 络 中 移动 ,从 一 个 系统 跳 到 另外 一 个 系 
统 并 自我 复制 。 但 是 一 旦 遇 到 另 一 个 Creeper, 便 将 其 注销 ,如 图 4-6 所 示 。 

1977 年 美国 作家 雷 因 在 其 科幻 小 说 The Adolescence of P-1 中 提出 了 计算 机 病毒 的 概 
念 。1982 年 ,里 奇 。 斯 克 伦 塔 (Rich Skrenta) 在 一 台 苹 果 计 算 机 上 制造 了 世界 上 第 一 个 计 
算 机 病毒 。 斯 克 伦 塔 编写 了 一 个 通过 软盘 传播 的 病毒 Elk Cloner, 该 病毒 感染 了 成 千 上 万 
的 机 器 ,但 它 是 无 害 的 , 它 只 是 在 用 户 的 屏幕 上 显示 一 首 诗 , 如 图 4-7 所 示 。 


Baselline” 
ABRIEF HISTORY OF MALWARE 


*197 1 The Creeper Virus appears 
on ARPANET, forerunner of the 
Internet It replicates 
itself and displays a 
message: “lm the 
Creeper: Catch Me if 
YouCan” 


图 4-6 Creeper 图 4-7 世界 上 第 一 个 计算 机 病毒 
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1986 年 ,Brain 病毒 (也 称 Pakistain Brain 病毒 ) 成 了 第 一 个 在 世界 上 流行 的 引导 型 病毒 。 
其 后 ,计算 机 病毒 的 发 展 经 历 了 DOS 时 代 、Windows 时 代 、 网 络 时 代 等 阶段 。 

1. DOS 病毒 阶段 

DOS 时 代 分 为 DOS 引导 阶段 (1987 年 前 ,为 引导 型 病毒 ) 和 DOS 可 执行 阶段 (1989 年 
出 现 文件 型 病毒 ,1990 年 起 发 展 为 复合 型 病毒 ) 。 

这 些 病 毒 直接 修改 部 分 中 断 向 量 表 , 不 隐藏 不 加 密 自身 代码 ,因此 很 容易 被 查 出 和 清 
除 , 其 代表 是 : 感染 引导 区 的 Stone 病毒 .小 球 病毒 和 磁盘 杀手 等 ,感染 文件 的 耶 路 撤 冷 病 
毒 . 维 也 纳 病毒 和 扬 基 病毒 等 。 

1) 系统 引导 型 病毒 

(1) 石头 (Stone) 病 毒 。 

其 表现 症状 为 显示 Your PC is Now Stoned, 如 图 4-8 所 示 。 它 藏身 于 硬盘 的 主 引导 扇 
区 和 软盘 的 引导 扇 区 中 。 感 染 硬盘 时 , 主 引 导 记 录 被 移 到 0 道 0 面 7 扇 区 ; 感染 软盘 时 ,把 
原 BOOT 区 内 容 写 人 0 道 1 面 3 扇 区 。 发 作 后 可 能 会 导致 某 些 硬盘 和 软盘 无 法 再 使 用 。 

90 


00 00 00 
00 00 00 


4-8 ”Stone 病毒 


(2) 米 开 郎 基 罗 病毒 。 

判断 是 否 为 3 月 6 日 ( 米 开 郎 基 罗 的 生日 ) ,车 满足 ,病毒 程序 就 会 将 内 存 中 的 一 块 随机 
数据 写 入 启动 盘 中 从 第 一 物理 区 开始 的 整个 磁盘 ,从 而 导致 磁盘 中 数据 全 部 丢失 。 

(3) 香港 病毒 。 

硬盘 启动 一 次 ,病毒 内 部 计数 器 加 1, 当 系统 从 硬盘 启动 次 数 累 计 达 224 次 后 ,病毒 程 
序 就 会 将 打印 口 PRN1 和 通信 口 COMI1 的 地 址 置 为 00, 使 系统 误 认 为 未 配置 通信 口 和 打印 
机 ,无 法 联机 通信 和 打印 。 

(4) 磁盘 杀手 病毒 。 

它 感染 硬盘 时 把 一 部 分 病毒 程序 存放 在 引导 扇 区 ,其 他 部 分 存放 在 磁盘 上 标记 为 坏 簇 
的 扇 区 中 。 当 病毒 程序 记 数 达 48 小 时 时 ,执行 类 似 于 磁盘 格式 化 的 数据 销毁 功能 ,使 磁盘 
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无 法 使 用 ,只 有 重新 格式 化 后 才能 使 用 ,但 原来 的 信息 全 部 丧失 。 

2) 文件 型 病毒 

(1) 黑色 星期 五 病毒 。 

病毒 程序 位 于 已 感染 病毒 的 . com 文件 的 最 前 端 ,对 于 . exe 文件 则 位 于 文件 的 后 面 。 

破坏 分 为 两 种 : 一 种 是 在 病毒 程序 内 部 设置 计数 器 , 当 值 为 2 时 ,在 屏幕 上 显示 “长 
方块 ”, 若 值 为 0 时 ,通过 执行 无 用 的 字符 循环 程序 来 减 慢 系统 速度 ; 另 一 种 是 日 期 和 星 
期 计数 , 当 系 统 日 历 为 13 日 且 是 星期 五 时 ,在 系统 中 运行 的 EXE 和 COM 文件 就 会 被 
删除 。 

(2) 瀑布 病毒 。 

又 名 雨点 病毒 ,专门 攻击 . com 文件 的 文件 型 病毒 ,发作 时 锁 死 键盘 ,屏幕 上 的 字符 如 同 
瀑布 般 一 个 个 脱落 到 屏幕 底部 ,并 发 出 响声 。 由 于 采用 了 数据 加 密 算 法 ,从 而 难以 被 检测 。 
其 表现 /破坏 模块 采取 了 一 个 复杂 的 激活 方式 ,涉及 许多 参数 ,如 计时 器 的 计数 值 . 键 盘 状 
态 、 硬 盘 数 据 .打印 机 参数 .机 器 类 型 ,监视 器 类 型 有 无 时 钟 卡 以 及 系统 日 期 等 。 

(3) 扬 基 (Yankee) 病 毒 。 

被 感染 的 文件 大 小 增加 约 3KB, 发 作 时 会 使 机 器 奏 Yankee Dodle 的 美国 民歌 。 该 病毒 
采用 了 反 跟 踪 技 术 , 当 它 发 现 DEBUG 工具 跟踪 时 ,会 自动 从 文件 中 逃走 ,以 抵抗 用 户 的 
检测 。 

(4) DIR-2 病毒 。 

采用 特殊 的 引导 方式 和 传染 机 制 ,标志 着 一 种 特殊 类 型 的 病毒 的 出 现 。 被 传染 的 文件 
长 度 不 变 , 但 文件 在 目录 表 中 的 首 簇 被 修改 ,指向 存放 的 病毒 程序 处 (存放 在 该 盘 的 最 后 一 
簇 中 )。 它 不 修改 系统 的 中 断 向 量 , 而 是 通过 修改 系统 中 设备 驱动 程序 的 入 口 ,从 而 获得 对 
系统 的 控制 。 

3) 混合 型 病毒 

新 世纪 病毒 : 5 月 4 日 删除 当前 加 载 执 行 的 可 执行 文件 ,并 显示 字符 信息 New Century 
of Computer Now! 

当 用 户 试 图 向 硬盘 开始 处 的 6 个 扇 区 (病毒 寄生 区 ) 写 入 数据 时 ,病毒 程序 会 拒绝 写 人 ， 
但 反馈 给 调用 程序 的 出 口 参 数 仍 表示 写 盘 正确 。 

当 试 图 读 取 主 引导 扇 区 内 容 时 ,病毒 程序 又 会 从 0 道 0 面 2 扇 区 读 取 原 主 引导 程序 备 
份 数据 ,以 此 蒙骗 用 户 。 

2. Windows 病毒 阶段 

随 着 Windows 95 操作 系统 的 普及 .1995 年 起 进入 了 Windows 病毒 阶段 ,其 最 大 的 特 
点 是 大 量 DOS 病毒 的 消失 及 宏 病 毒 的 兴起 。 

1) 传统 型 Windows 病毒 

由 于 运行 在 Windows 9X 的 可 执行 文件 的 结构 与 DOS 下 可 执行 文件 大 相 径 庭 ,DOS 
病毒 在 Windows 9X 环境 下 失去 了 进一步 破坏 或 传染 的 可 能 性 ,最 后 大 多 数 销声匿迹 。 病 
毒 制造 者 开始 根据 Windows 可 执行 文件 的 结构 改写 病毒 的 传染 模块 ,产生 了 部 分 传统 型 的 
Windows 病毒 ,其 中 佼佼 者 便 是 CIH 病毒 。CIH 病毒 的 出 现 ,标志 着 以 DOS 系统 攻击 对 
象 的 计算 机 病毒 逐渐 让 位 于 针对 Windows 的 病毒 。 

CIH 病毒 是 首 例 直 接 破坏 计算 机 系统 硬件 的 病毒 。 发 作 时 ,利用 Windows 95/ 
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Windows 98 的 高 级 电源 管理 功能 进行 破坏 ,通过 随机 调用 内 存 数 据 , 从 硬盘 物理 初始 位 置 
开始 ,逐一 往 下 写 随 机 数据 ,从 而 覆盖 硬盘 主 引 导 区 和 BOOT 区 ,改写 硬盘 数据 。 此 外 还 会 
用 随机 数据 改写 部 分 可 升级 主板 的 Flash BIOS 系统 程序 ,导致 机 器 无 法 运行 ,如 图 4-9 
所 示 。 


Diskette Drtiue 月 1.44N.3.5™ Display Type ECR“~UCH 
Diskette Driue 月 Hone Serial port(s) 3F8 2F8 
Pri. haster Disk CORON .ATA 33 Parailel Protcs) 379 

Pri Haster Disk LBAATA 33,48822HB DOR at Row(s) 8 

Pri naster Disk CO-RY.ATA 33 DRRI DCC node Disabled 
Pri raster Disk Hone 


pri Slave Disk HOD SMART. capability ... Disabled 


Verifying DMI Pool 0ata 
Boot Form CO 
Boot Form c0 
DISK 600T FAILURE. IMSERT SYSTEH DISK AMO PRESS ENTER 


图 4-9 CIH 病毒 


毒 
另 一 类 Windows 病毒 制造 者 改变 思路 ,放弃 可 执行 文件 ,将 目标 转向 了 具备 宏 功 能 的 
文档 。1995 年 ,首次 出 现 了 针对 Word 6. 0 文档 的 宏 语 言 病毒 , 它 感染 Word 文件 ,而 不 是 
传染 软 硬 盘 或 可 执行 的 二 进 制 文件 。 

| 的 命令 ,由 一 系列 Word 命令 和 动作 组 成 ,可 以 使 用 Word Basic 宏 语 言 来 创 
建 复杂 的 宏 ,执行 宏 时 ,将 这 些 命令 或 动作 激活 。 宏 可 以 对 所 有 文档 有 效 , 也 可 以 只 对 那些 
基于 特定 模板 的 文档 有 效 。 如 打开 文档 时 ,首先 执行 系统 内 部 模板 或 当前 模板 的 FileOpen 
宏 ,打开 该 文档 后 ,再 根据 该 文档 所 对 应 的 模板 执行 0 宏 。 当 打开 一 个 带 病 毒 的 模 
板 后 ,该 模板 可 以 通过 执行 其 中 的 宏 程序 (如 AutoOpen 宏 ), 将 自身 所 携带 的 病毒 宏 程 序 找 
贝 到 Word 系统 中 的 通用 模板 中 。 pi man 第 该 文 
档 文件 重新 存盘 为 带 毒 模板 文件 , 即 由 原来 不 带 宏 程序 的 纯 文本 文件 转换 为 带 病 毒 的 模板 
文件 。 


Word 宏 病 毒 编 写 容易 ,一 个 略 懂 Visual Basic for Word 的 人 利用 几 条 代码 就 能 够 完成 
-个 宏 病毒 的 破坏 模块 ,用 几 十 条 代码 就 能 够 完成 一 个 宏 病 毒 的 传染 模块 ,于 是 , 宏 病 毒 开 
台 泛 滥 起 来 。 


(1) 台湾 No. 1 宏 病 毒 。 

每 月 13 日 发 作 。 发 作 时 ,屏幕 上 出 现 对 话 框 请 用 户 计算 数值 ,除非 答对 ,否则 将 无 法 退 
出 Word。 而 所 出 的 题目 数值 是 很 大 的 ,例如 : 7003X3265X1357X48 921X97 一 ?。 如 果 
答 错 就 会 开 出 20 份 新 文件 ,然后 再 出 1 道 计算 题 ,如 此 循环 下 去 ,不 但 占用 内 存 , 而 且 还 会 
造成 硬盘 文件 链 的 丢失 ,如 图 4-10 所 示 。 

(2) Cap 宏 病 毒 。 

早期 的 宏 病 毒 存在 三 个 问题 : Save As 问题 ( 当 用 Save As 指令 存放 文档 时 ,感染 后 的 
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图 4-10 台湾 No.1 宏 病 毒 


文档 不 允许 用 户 选 择 目 录 、 路 径 和 文件 类 型 ) 、 语 言 版 本 问题 (不 同 语言 版 本 Word 下 创建 的 
宏 病 毒 通常 不 能 在 其 他 语言 版 本 的 Word 中 传播 )、 生 存 问题 。( 当 系统 中 已 经 有 了 一 个 宏 
病毒 ,在 打开 的 文件 中 又 有 另 一 种 宏 病 毒 ,第 二 个 文档 中 又 有 第 三 种 ,此 时 谁 能 生存 下 来 ?) 
委内瑞拉 Jackey 编写 的 Cap 宏 病 毒 解决 了 上 述 问题 。 

(3) Strange Days 宏 病 毒 。 

第 一 个 同时 感染 Word 和 Excel 的 宏 病 毒 ,并 具有 关闭 Office 预警 机 制 的 能 力 。 

3. 网 络 病毒 阶段 

1997 年 起 进入 了 网 络 病毒 阶段 。 网 络 病毒 是 指 能 在 网 络 中 传播 复制 \ 破 坏 ,并 以 网 络 
为 平台 ,对 计算 机 产生 安全 威胁 的 所 有 程序 的 总 和 。 一 般 来 说 ,病毒 传播 通过 网 络 平台 ,从 
一 台 机 器 传染 到 另 一 台 机 器 ,然后 传 遍 网 上 的 全 部 机 器 。 一 般 只 要 网 络 上 有 一 个 站 点 上 有 
病毒 ,那么 其 他 站 点 也 会 有 类 似 的 病毒 。 一 个 网 络 系统 只 要 有 入 口 站 点 ,那么 ,就 很 有 可 能 
感染 上 网 络 病毒 ,使 病毒 在 网 上 传播 扩散 ,甚至 会 破坏 系统 。 
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原来 的 引导 型 病毒 、 文 件 型 病毒 和 混合 型 病毒 都 是 通过 磁盘 或 光盘 进行 传播 的 ,其 传播 
速度 相对 较 慢 。 而 依靠 网 络 环境 传播 的 病毒 ,传播 速度 极 快 ,破坏 性 更 加 严重 。 电 子 邮件 、 
Web 浏览 器 .FTP 服务 器 等 Internet 或 Intranet 应 用 系统 ,是 计算 机 病毒 的 新 型 寄生 和 传 
播 载体 。 

1) 网 络 病毒 的 特点 

网 络 病毒 除了 具有 可 传播 性 .可 执行 性 ,破坏 性 等 计算 机 病毒 的 共性 外 ,还 具有 一 些 新 
的 特点 : 感染 速度 快 . 扩 散 面 广 , 传 播 的 形式 复杂 多 样 .难于 彻底 清除 破坏 性 大 等 。 

(1) 感染 速度 快 。 

在 单机 环境 下 ,病毒 只 能 通过 介质 从 一 台 计 算 机 传染 到 另 一 台 ,而 在 网 络 中 则 可 以 通过 
网 络 通信 机 制 进行 迅速 扩散 。 根 据 测定 ,在 网 络 正 常 工作 情况 下 ,只 要 有 一 台 工 作 站 有 病 
毒 ,就 可 在 几 十 分 钟 内 将 网 上 的 数 百 台 计 算 机 全 部 感染 。 

(2) 扩散 面 广 。 

由 于 病毒 在 网 络 中 扩散 速度 非常 快 ,扩散 范围 很 大 ,不 但 能 迅速 传染 局 域 网 内 所 有 的 计 
算 机 ,还 能 通过 远程 工作 站 将 病毒 在 一 瞬间 传播 到 千里 之 外 。 

(3) 传播 的 形式 复杂 多 样 。 

计算 机 病毒 在 网 络 上 一 般 是 通过 “工作 站 一 服务 器 一 工作 站 ?的 途径 进行 传播 的 ,但 现 
在 病毒 技术 进步 了 不 少 ,传播 的 形式 复杂 多 样 。 

(4) 难以 彻底 清除 。 

单机 上 的 计算 机 病毒 通过 低级 格式 化 硬盘 等 措施 能 将 病毒 彻底 清除 。 而 网 络 中 只 要 有 
一 台 工 作 站 未 能 清除 干净 ,就 可 使 整个 网 络 重 新 被 病毒 感染 ,甚至 刚刚 完成 杀毒 工作 的 一 台 
工作 站 ,就 有 可 能 被 网 上 另 一 台 带 毒 工作 站 所 感染 。 因 此 , 仅 对 工作 站 进行 杀毒 ,并 不 能 解 
决 病毒 对 网 络 的 危害 。 

(5) 破坏 性 大 。 

网 络 病毒 将 直接 影响 网 络 的 工作 , 轻 则 降低 速度 ,影响 工作 效率 , 重 则 破坏 服务 器 ,使 网 
络 骨 溃 。 

(6) 可 激发 性 。 

网 络 病毒 激发 的 条 件 多 样 ,可 以 是 内 部 时 钟 、 系 统 的 日 期 和 用 户 名 ,也 可 以 是 网 络 的 一 
次 通信 等 。 一 个 病毒 程序 可 以 按照 病毒 设计 者 的 要 求 ,在 某 个 工作 站 上 激发 并 发 出 攻击 。 

(7) 潜在 性 。 

网 络 一 旦 感染 了 病毒 ,即使 病毒 已 被 清除 ,其 潜在 的 危险 性 也 是 巨大 的 。 根 据 统 计 , 病 
毒 在 网 络 上 被 清除 后 ,85% 的 网 络 在 30 天 内 会 被 再 次 感染 。 

2) 网 络 病毒 的 攻击 手段 

网 络 病 毒 的 攻击 手段 可 分 为 非 破坏 性 攻击 和 破坏 性 攻击 两 类 。 非 破坏 性 攻击 一 般 是 为 
了 扰乱 系统 的 运行 ,并 不 盗窃 系统 资料 ,通常 采用 拒绝 服务 攻击 或 信息 炸弹 ; 破坏 性 攻击 是 
以 侵入 他 人 计算 机 系统 ,盗窃 系 统 保密 信息 、 破 坏 系统 的 数据 为 目的 的 。 

(1) 设置 网 络 木马 。 

该 方法 是 利用 系统 漏洞 进入 用 户 的 计算 机 系统 ,通过 修改 注册 表 自 启动 ,运行 时 有 意 不 
让 用 户 察觉 ,将 用 户 计算 机 中 的 所 有 信息 都 暴露 在 网 络 中 。 大 多 数 黑客 程序 的 服务 器 端 都 
是 木马 。 
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(2) 网 络 监听 。 

网 络 监听 是 一 种 监视 网 络 状 态 .数据 流 以 及 网 络 上 传输 信息 的 管理 工具 , 它 可 以 将 网 络 
接口 设置 为 监听 模式 ,并且 可 以 截获 网 上 传输 的 信息 ,这 是 黑客 使 用 最 多 的 方法 。 

(3) 网 络 蠕虫 。 

网 络 蠕虫 是 指 利用 网 络 缺陷 和 网 络 新 技术 ,对 自身 进行 大 量 复制 的 病毒 程序 。 它 具有 
病毒 的 一 些 共 性 ,如 传播 性 、 隐 蔽 性 、 破 坏 性 等 ,同时 又 具有 自己 的 一 些 特征 ,如 不 利用 文件 
寄生 、 对 网 络 造成 拒绝 服务 .与 黑客 技术 相 结合 等 。 

1988 年 11 月 3 日 , 康 奈 尔 大 学 计算 机 科学 系 一 年 级 博士 研究 生 Morris 编写 了 首 个 里 
虫 ,其 目的 是 为 了 探究 当时 的 互联 网 究竟 有 多 大 。 然 而 ,这 个 病毒 以 无 法 控制 的 方式 进行 复 
制 , 几 小 时 内 造成 了 约 6000 台电 脑 被 感染 , 占 当时 网 络 中 1/10 的 电脑 。 

根据 网 络 蠕虫 感染 用 户 对 象 的 不 同 ,蠕虫 病毒 分 为 两 类 。 

一 类 是 面向 企业 和 局 域 网 用 户 , 如 “红色 代码 ”“ 尼 达 姆 "“SQL 蠕虫 王 ” 等 ,它们 利用 
系统 漏洞 主动 攻击 ,可 以 对 整个 Internet 造成 瘫痪 性 的 后 果 。 

红色 代码 (Code Red,2001 年 ) 和 红色 代码 (Code Red [[) 两 种 蠕虫 病毒 都 利用 了 在 
Windows 2000 和 Windows NT 中 存在 的 一 个 操作 系统 漏洞 , 即 缓存 区 溢出 攻击 方式 , 当 运 
行 这 两 个 操作 系统 的 机 器 接收 的 数据 超过 处 理 范围 时 ,数据 会 溢出 覆盖 相 邻 的 存储 单元 ,使 
其 他 程序 不 能 正常 运行 ,甚至 造成 系统 崩溃 。 与 其 他 病毒 不 同 的 是 ,Code Red 并 不 将 病毒 
信息 写 和 人 被 攻击 服务 器 的 硬盘 , 它 只 是 驻 留 在 被 攻击 服务 器 的 内 存 中 。 最 初 的 红色 代码 蠕 
虫 病毒 利用 分 布 式 拒绝 服务 (DDoS) 对 白宫 网 站 进行 攻击 。 安 装 了 Windows 2000 系统 的 
计算 机 一 旦 中 了 红色 代码 工 ,蠕虫 病毒 会 在 系统 中 建立 后 门 程序 ,从 而 允许 远程 用 户 进 入 并 
控制 计算 机 。 病 毒 的 散发 者 可 以 从 受害 者 的 计算 机 中 获取 信息 ,甚至 用 这 人 台 计 算 机 进行 犯 
罪 活动 。 受 害 者 有 可 能 因此 成 为 别人 的 替罪羊 。 虽 然 Windows NT 更 易 受 红色 代码 的 感 
染 , 但 是 病毒 除了 让 机 器 死机 ,不 会 产生 其 他 危害 。 

尼 姆 达 (Nimda,2001) 在 用 户 的 操作 系统 中 建立 一 个 后 门 程序 ,使 侵入 者 拥有 当前 登录 
账户 的 权限 。 尼 姆 达 通 过 互联 网 迅速 传播 ,是 当时 传播 最 快 的 病毒 。 它 可 以 通过 邮件 等 多 
种 方式 进行 传播 ,这 也 是 它 能 够 迅速 大 规模 爆发 的 原因 。 它 使 得 很 多 网 络 系统 崩溃 ,服务 器 
资源 都 被 蠕虫 占用 。 从 这 种 角度 来 说 , 尼 姆 达 实 质 上 也 是 DDoS 的 一 种 。 

SQL 蠕虫 王 (SQL Slammer,2003 年 ) 是 一 款 DDoS 恶意 程序 , 透 过 一 种 全 新 的 传染 途 
径 , 采 取 分 布 式 阻 断 服务 攻击 感染 服务 器 , 它 利 用 SQL Server 弱点 采取 阻 断 服务 攻击 1434 
端口 并 在 内 存 中 感染 SQL Server, 通 过 被 感染 的 SQL Server 再 大 量 散 播 阻 断 服务 攻击 与 
感染 ,造成 SQL Server 无 法 正常 作业 或 宕 机 ,使 内 部 网 络 拥 塞 。 在 补丁 和 病毒 专 杀 软件 出 
现 之 前 ,这 种 病毒 造成 10 亿美 元 以 上 的 损失 。 

另 一 类 是 针对 个 人 用 户 的 蠕虫 .如 “ 爱 虫 "“ 求 职 性 ”等 ,它们 通过 电子 邮件 、 恶 意 网 页 等 
形式 迅速 传播 。 

爱 虫 (I love you,2000 年 ) 是 具有 自我 复制 功能 的 独立 程序 ,最 初 也 是 通过 邮件 传播 
的 ,其 破坏 性 要 比 Melissa 强 得 多 。 标 题 通 常会 说 明 , 这 是 一 封 来 自 您 的 暗恋 者 的 表白 信 。 
邮件 中 的 附件 则 是 罪魁 祸首 。 这 种 蠕虫 病毒 最 初 的 文件 名 为 LOVE-LETTER-FOR-YOU. 
TXT. vbs, 如 图 4-11 所 示 。 后 缀 名 vbs 表明 黑客 是 使 用 VB 脚本 编写 这 段 程序 的 。 很 多 人 
怀疑 是 菲律宾 的 奥尼尔 . 犹 . 古 效 曼 制 造 了 这 种 病毒 。 由 于 当时 菲律宾 没有 制定 计算 机 破 
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坏 的 相关 法 律 ,当局 只 得 以 盗窃 罪 的 名 义 传讯 他 。 最 终 由 于 证 据 不 足 , 当 局 被 迫 释 放 了 古 兹 
曼 。 根 据 媒 体 估计 , 爱 虫 病毒 造成 大 约 100 亿美 元 的 损失 。 


BA 人 


kirdly check the attached LOVELETTER coming from me. 


图 4-11 爱 虫 病毒 


求职 信 病 毒 (Klez,2001 年 ) 是 病毒 传播 的 里 程 碑 。 求 职 信 病毒 出 现 不 久 , 黑 客 就 对 它 
进行 了 改进 ,使 它 传染 性 更 强 。 除 了 向 通讯 录 联 系 人 发 送 同 样 邮件 外 , 它 还 能 从 中 毒 者 的 通 
讯 录 里 随机 抽 选 一 个 人 ,将 该 邮件 地 址 填 和 人 发 信人 的 位 置 。 最 常见 的 求职 信 病 毒 通过 邮件 
进行 传播 ,然后 自我 复制 ,同时 向 受害 者 通讯 录 里 的 联系 人 发 送 同样 的 邮件 。 一 些 变种 求职 
信和 病毒 携带 其 他 破坏 性 程序 ,使 计算 机 瘫 痰 。 有 些 甚 至 会 强行 关闭 杀毒 软件 或 者 伪装 成 病 
毒 清除 工具 。 

表 4-2 是 蠕虫 病毒 和 普通 病毒 之 间 的 区 别 。 


表 4-2 蠕虫 病毒 与 普通 病毒 的 区 别 


蠕虫 病毒 普通 病毒 
存在 形式 独立 程序 寄存 文件 
传染 机 制 主动 攻击 宿主 程序 运行 
传染 目标 网 络 计算 机 本 地 文件 


通过 上 表 的 对 比 , 可 以 预见 未 来 能 够 给 网 络 带 来 重大 灾难 的 必定 是 蠕虫 病毒 。 

(4) 捆绑 器 病毒 。 

捆绑 器 病毒 是 一 个 很 新 的 概念 ,人 们 编写 这 些 程序 的 最 初 目的 是 希望 通过 一 次 单 击 同 
时 运行 多 个 程序 ,然而 这 一 工具 却 成 了 病毒 的 新 帮凶 。 比 如 说 ,用 户 可 以 将 一 个 小 游戏 与 病 
毒 通过 捆绑 器 程序 捆绑 , 当 用 户 运 行 游戏 时 ,病毒 也 会 同时 悄悄 地 运行 ,给 计算 机 造成 危害 。 

由 于 捆绑 器 会 将 两 个 程序 重新 组 合 ,产生 一 个 自己 的 特殊 格式 ,所 以 捆绑 器 程序 的 出 
现 ,使 新 变种 病毒 产生 的 速度 大 大 增加 了 。 

(5) 网 页 病毒 。 

网 页 病毒 是 利用 网 页 来 进行 破坏 的 病毒 , 它 存在 于 网 页 之 中 ,其 实质 是 利用 Script 语言 
编写 的 一 些 恶意 代码 。 当 用 户 登录 某 些 含 有 网 页 病毒 的 网 站 时 ,网 页 病毒 便 被 悄悄 激活 。 
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这 些 病 毒 一 旦 激活 ,可 以 利用 系统 的 一 些 资源 进行 破坏 , 轻 则 修改 用 户 的 注册 表 , 使 用 户 的 
首页 ,浏览 器 标题 改变 , 重 则 可 以 关闭 系统 的 很 多 功能 ,使 用 户 无 法 正常 使 用 计算 机 系统 ,更 
严重 者 可 以 将 用 户 的 系统 进行 格式 化 。 这 种 网 页 病毒 容易 编写 和 修改 ,使 用 户 防不胜防 ,最 
好 的 方法 是 选用 有 网 页 监控 功能 的 杀毒 软件 。 

(6) 后 门 程序 。 

由 于 程序 员 在 设计 一 些 功 能 复杂 的 程序 时 ,一 般 采用 模块 化 的 程序 设计 思想 ,将 整个 项 
目 分 割 为 多 个 功能 模块 ,分 别 进行 设计 ,调试 ,这 时 的 后 门 就 是 一 个 模块 的 秘密 入 口 。 在 程 
序 开发 阶段 ,后门 便 于 测试 .更改 和 增强 模块 功能 。 正 常情 况 下 ,完成 设计 以 后 需要 去 掉 各 
个 模块 的 后 门 , 不 过 有 时 由 于 朴 忽 或 者 其 他 原因 (如 将 其 留 在 程序 中 ,便于 日 后 访问 .测试 或 
维护 ) ,后 门 没 有 去 掉 , 一 些 别有用心 的 人 会 利用 穷 举 搜索 法 发 现 并 利用 这 些 后门 ,然后 进入 
系统 并 发 动 攻击 。 

(7) 黑客 程序 。 

黑客 程序 产生 的 年 代 由 来 已 久 ,但 在 过 去 ,从 没有 人 将 它 看 作 病 毒 , 理 由 是 黑客 程序 只 
是 一 个 工具 , 它 有 界面 又 不 会 传染 ,不 能 算 作 病毒 。 

而 随 着 网 络 的 发 展 与 人 们 日 益 增长 的 安全 需求 ,必须 重新 来 看 待 黑客 程序 。 黑 客 程序 
一 般 都 有 攻击 性 , 它 会 利用 漏洞 控制 远程 计算 机 ,甚至 直接 破坏 计算 机 ; 黑客 程序 通常 会 在 
用 户 的 计算 机 中 植 入 一 个 木马 ,与 木马 内 外 色 结 ,对 计算 机 安全 构成 威胁 。 所 以 黑客 程序 也 
是 一 种 网 络 病毒 。 

(8) 信息 炸弹 。 

信息 炸弹 是 指使 用 一 些 特殊 工具 软件 , 短 时 间 内 向 目标 服务 器 发 送 大 量 超出 系统 负荷 
的 信息 ,造成 目标 服务 器 超 负荷 、 网 络 堵塞 .系统 崩溃 的 攻击 手段 。 比 如 向 未 打 补 丁 的 
Windows 95 系统 发 送 特定 组 合 的 UDP 数据 包 ,会 导致 目标 系统 死机 或 重启 ; 向 某 型 号 的 
路 由 器 发 送 特定 数据 包 致使 路 由 器 死机 ; 向 某 人 的 电子 邮件 发 送 大 量 的 垃圾 邮件 将 此 邮箱 
“ 撑 爆 ”等 。 目 前 常见 的 信息 炸弹 有 邮件 炸弹 .逻辑 炸弹 等 。 

(9) 拒绝 服务 。 

拒绝 服务 又 叫 分 布 式 DoS 攻击 , 它 是 使 用 超出 被 攻击 目标 处 理 能 力 的 大 量 数 据 包 消耗 
系统 带宽 资源 ,最 后 导致 网 络 服务 器 瘫痪 的 一 种 攻击 手段 。 作 为 攻击 者 ,首先 需要 通过 常规 
的 黑客 手段 侵入 并 控制 某 个 网 站 ,然后 在 服务 器 上 安装 并 启动 一 个 可 由 攻击 者 发 出 特殊 指 
令 的 程序 来 控制 进程 ,攻击 者 把 攻击 对 象 的 IP 地 址 作为 指令 下 达 给 进程 后 ,这 些 进 程 就 开 
始 对 目标 主机 发 起 攻击 。 这 种 方式 可 以 集中 大 量 的 网 络 服务 器 带宽 ,对 某 个 特定 目标 实施 
攻击 ,因而 威力 巨大 ,项 刻 之 间 就 可 以 使 被 攻击 目标 带宽 资源 耗 尽 ,导致 服务 器 瘫痪。 

4. 病毒 的 发 展 趋势 

计算 机 病毒 技术 的 发 展 , 也 就 是 计算 机 最 新 技术 的 发 展 。 当 一 种 最 新 的 技术 或 者 计算 
机 系统 出 现时 ,病毒 总 能 找到 这 些 技术 的 薄弱 环节 进行 利用 和 攻击 。 同 时 ,病毒 制造 者 们 不 
断 吸取 已 经 发 现 的 病毒 技术 ,试图 将 这 些 技术 融合 在 一 起 ,制造 更 具有 破坏 力 的 新 病毒 。 

与 传统 的 计算 机 病毒 不 同 的 是 ,许多 新 病毒 是 利用 当前 最 新 的 编程 语言 与 编程 技术 实 
现 的 ,易于 修改 以 产生 新 的 变种 ,从 而 逃避 反 病 毒 软 件 的 搜索 。 

有 些 新 病毒 利用 Java、ActiveX、VBScript 等 技术 ,可 以 潜伏 在 HTML 页 面 里 ,在 上 网 
浏览 时 触发 。VBS_KAKWORM. A 病毒 虽然 早 在 1999 年 10 月 就 被 发 现 , 但 它 的 感染 率 一 
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直 居 高 不 下 ,就 是 由 于 它 利用 ActiveX 控件 中 存在 的 缺陷 传播 , 装 有 IE 5.0 或 Office 2000 
的 计算 机 都 可 能 被 感染 。 这 个 病毒 的 出 现 使 原来 不 打开 带 毒 邮件 附件 而 直接 删除 的 防 邮件 
病毒 方法 完全 失效 。 更 为 令 人 担心 的 是 ,一 旦 这 种 病毒 被 赋予 其 他 计算 机 病毒 的 特性 ,造成 
的 危害 很 有 可 能 超过 现 有 的 任何 计算 机 病毒 。 

计算 机 病毒 的 发 展 速度 越 来 越 快 .由 只 感染 可 执行 文件 的 病毒 演化 到 同时 感染 多 种 微 
软 办 公 软 件 的 病毒 ; 由 只 对 软件 产生 破坏 的 病毒 演化 到 能 攻击 硬件 正常 工作 的 病毒 ; 由 单 
一 攻击 功能 的 病毒 演化 到 集 蠕 虫 .后门 和 黑客 三 种 攻击 功能 于 一 身 的 “多 料 ” 病 毒 ; 由 单机 
病毒 到 能 利用 FTP 在 网 上 快速 传播 的 蠕虫 病毒 ; 由 单 态 性 病毒 到 多 态 加 密 抗 检测 病毒 ,再 
到 病毒 自动 生产 器 、 手 机 病毒 等 。 变 形 病毒 ,病毒 生产 机 、 病 毒 与 黑客 技术 合 二 为 一 等 ,将 是 
今后 计算 机 病毒 发 展 的 主要 方向 。 

1) 变形 病毒 

1992 年 以 来 出 现 的 能 在 传播 过 程 中 自动 修改 病毒 代码 ,改变 自身 加 解密 方法 的 病毒 ， 
可 以 根据 不 同 机 器 配置 .所 攻击 的 文件 情况 、 传 染 次 数 等 修改 病毒 程序 体 代码 。 每 传染 一 个 
对 象 就 变化 一 种 样子 ,变形 能 力 可 达 上 千 亿 甚至 无 限 , 给 病毒 检测 和 清除 带 来 了 一 定 困难 。 
如 台湾 2 号 变形 王 , 其 病毒 代码 可 变 无 限 次 ,并 且 变 形 复杂 ,几乎 达到 了 不 可 解除 的 状态 ; 
又 如 Mutation Engine( 变 形 金刚 或 称 变形 病毒 生产 机 ) ,过 到 普通 病毒 后 能 将 其 改造 为 变形 
病毒 ,给 清除 计算 机 病毒 带 来 极 大 的 困难 。 

多 态 变 形 病毒 在 代码 组 成 上 具有 和 较 强 的 变化 能 力 ,在 功能 上 能 接收 外 来 信息 ,能 繁衍 新 
的 不 同 种 类 的 病毒 ,是 能 自我 保护 、 自 我 修复 的 智能 化 病毒 ,多 态 变 形 病毒 将 会 是 今后 病毒 
发 展 的 主要 方向 。 

有 的 专家 认为 ,要 检测 清除 病毒 变种 比 病毒 原型 还 要 困难 ,因为 : 

(1) 病毒 变种 往往 是 针对 原型 病毒 的 弱点 并 考虑 了 已 出 现 的 针对 该 病毒 的 反 病毒 技术 
的 特点 做 了 种 种 变动 。 病 毒 变种 的 攻击 性 与 反 病毒 技术 的 对 抗 性 有 所 增强 。 

(2) 病毒 变种 往往 会 改变 原型 病毒 的 长 度 、 感 染 标记 等 敏感 信息 。 这 可 能 使 许多 反 病 
毒 工具 失去 查 毒 、 杀 毒 能 力 。 

(3) 编写 病毒 变种 很 容易 ,编写 反 病毒 工具 困难 。 反 病毒 工具 的 研制 总 是 滞后 于 病毒 
的 演化 。 大 量 的 功能 变化 多 端的 病毒 变种 的 出 现 , 使 人 们 防不胜防 。 从 病毒 某 个 变种 出 现 ， 
到 针对 该 病毒 的 反 病 毒 工具 的 出 现 之 间 存 在 一 个 空白 时 间 ,其 间 对 该 种 病毒 既 不 能 检测 也 
不 能 清除 。 

病毒 变种 在 性 能 上 的 变化 可 大 可 小 ,有 的 维持 了 原版 病毒 的 原貌 , 仅 改 变 了 感 当 标记; 
也 可 能 病毒 变种 在 功能 .设计 思想 上 都 有 所 变化 。 病 毒 编写 者 注意 到 许多 反 病 毒 工具 过 分 
依赖 于 感染 标记 ,他 们 只 须 修 改 病毒 的 感染 标记 ,就 可 以 轻而易举 地 形成 该 病毒 的 变种 。 现 
今世 界 上 发 现 的 病毒 几乎 都 有 变种 。 

2) 病毒 生产 机 软件 

1995 年 ,有 相当 一 批 计算 机 病毒 好 像 出 于 同一 个 家 族 ,其 病毒 代码 长 度 都 不 相同 ,自我 
加 密 、 解 密 的 密 钥 也 不 相同 ,原文 件 头 重要 参数 的 保存 地 址 不 同 ,病毒 的 发 作 条 件 和 现象 不 
同 , 但 主体 构造 和 原理 基本 相同 ,它们 是 由 病毒 生产 机 软件 生产 的 ,如 图 4-12 所 示 。 

对 于 由 病毒 生产 机 软件 生产 的 计算 机 病毒 ,目前 没有 广 谱 查 毒 软件 ,只 能 是 知道 一 种 查 
杀 一 种 ,难以 应 付 由 此 产生 的 大 量 计算 机 病毒 。 
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助 对象 威胁 类 型 | 
Ci\Docmments and Settines\Adninistrator\Local Settings\Tenporary Internet Files\Content .I 木马 ia32/Treian 377) 

Ci\Doconents and Settings\Adninistrator\Local Settings\Tenporary Internet Files\Content.I HEUR/Nalware. QVNL3. Gen 

C:\Documents and Settings\Adninistrator\Local Settings\Tenporary Internet Files\Content I JEUR/Nalware. OVNI1. Gen 

C:\Docunents and Settings\Administrator\Local Settings\Tenporary Internet Files\Content .I HEUR/Nalware, QVNO3. Gen 

C:\Documents and Settings\Adninistrator\Local Settings\Tenporary Internet Files\Content .I 感染 型 病毒 Win32/Trojian d77) 

1C:ADocanents and Settines\Adninistrator\Local Settings\Tenporary Internet Files\Content.I HEUR/NWalware. VNOT. Gen 

C:\ocunents and Settines\Adninistrator\Local Settings\Tenporary Internet Files\Content .I HEUR/Nalware, QVNL1. Gen 

C:\Docunents and Settings\Adninistrator\Local Settines\Tenporary Internet Files\Content.I 本 lia32/Troian fhb) 


C:\Documents and Settings\Adninistrator\Local Settings\Tenp\tnp. tnp 病毒 生产 机 Win32/Trojsn 2ff) 


Ci\Docunents and Settings\AdninistratorALocal Settings\Tenp\S7906_xeex. exe HEVR/Nalware. QVM13. Gen 再 


图 4-12 病毒 生产 机 


病毒 自动 生成 工具 在 网 络 上 可 以 很 容易 获得 ,使 得 现在 新 病毒 出 现 的 频率 超出 以 往 任 
何 时 候 。 以 往 计算 机 病毒 都 是 编程 高 手 制作 的 ,编写 病毒 显示 自己 的 技术 。 出 现 了 病毒 自 
动 生成 工具 以 后 ,使 用 该 工具 ,即使 不 是 程序 员 , 也 可 以 按 自己 的 愿望 生成 自己 所 想 要 的 
病毒 。 

3) 病毒 与 黑客 合 二 为 一 的 病毒 

黑客 技术 和 病毒 技术 的 混合 , 即 黑客 借助 病毒 的 广泛 而 迅速 的 传播 特性 ,把 黑客 攻击 手 
段 从 以 往 一 对 一 的 攻击 变 成 了 一 对 多 的 攻击 模式 ; 同时 ,病毒 技术 亦 借助 黑客 技术 使 得 病 
毒 的 激活 变 得 似乎 不 复 存在 ,攻击 强度 又 增 。 

2001 年 ,红色 代码 病毒 肆虐 全 球 ,意味 着 病毒 与 黑客 合 二 为 一 的 新 型 计算 机 病毒 的 诞 
生 , 给 清除 病毒 及 其 隐患 带 来 了 困难 。 

病毒 技术 与 木马 技术 相 结 合 , 会 出 现 带 有 明显 病毒 特征 的 木马 或 者 带 有 木马 特征 的 病 
毒 。 由 于 木马 的 危害 性 很 大 ,黑客 们 可 通过 木马 远程 控制 计算 机 并 获取 计算 机 资源 。 现 在 
已 经 出 现 类 似 于 此 的 病毒 一 一 Nimuda( 尼 姆 达 ) 病 毒 , 它 虽 然 没 有 木马 最 直接 的 特征 ,但 是 
会 给 感染 该 病毒 的 计算 机 留 下 后 门 。 随 着 计算 机 病毒 知识 的 广泛 传播 ,制造 木马 的 黑客 们 
会 加 紧 对 计算 机 病毒 技术 的 研究 ,来 加 大 木马 的 传播 速度 和 破坏 效果 。 

网 游 大 盗 等 盗号 木马 就 是 通过 进程 注入 咨 取 流 行 的 各 大 网 络 游戏 (魔兽 ,梦幻 西游 等 ) 
账号 ,从 而 通过 买卖 装备 获得 利益 ,如 图 4-13 
所 示 。 这 类 病毒 本 身 一 般 不 会 对 抗 杀 毒 软 
件 , 但 经 常 伴随 着 AV 终结 者 、 机 器 狗 等 病毒 
出 现 。 

4)“ 反 病毒 程序 ”病毒 

反 病 毒 程序 把 每 个 未 感染 文件 的 关键 特 
征 信 息 存放 到 数据 库 中 ,然后 把 当前 文件 与 
存储 在 数据 库 中 原来 的 文件 进行 核对 .“ 反 
病毒 程序 ”病毒 会 删除 这 种 病毒 定义 文件 ,从 
而 破坏 了 反 病毒 程序 中 的 扫描 程序 检测 病毒 
的 能 力 , 使 得 反 病 毒 程序 无 法 检测 病毒 ,如 能 图 4-13 ”网游 大 盗 
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猫 烧香 、AV 终结 者 、 磁 碟 机 病毒 、 机 器 狗 病毒 等 。 

熊猫 烧香 是 一 种 经 过 多 次 变种 的 蠕虫 病毒 ,2006 年 10 月 16 日 由 25 岁 的 中 国 湖北 人 
李 俊 编 写 ,2007 年 1 月 初 肆虐 网 络 。 病 毒 变种 使 用 户 计算 机 中 毒 后 可 能 会 出 现 蓝屏 、 频 繁 
启 以 及 系统 硬盘 中 数据 文件 被 破坏 等 现象 。 同 时 ,该 病毒 的 某 些 变种 可 以 通过 局 域 网 进 
行 传播 ,进而 感染 局 域 网 内 所 有 计算 机 系统 ,最 终 导 致 企业 局 域 网 瘫痪 ,无 法 正常 使 用 , 它 能 
感染 系统 中 EXE、COM.、PIF、SRC、HTML、ASP 等 文件 , 它 还 能 终止 大 量 的 反 病毒 软件 进 
程 并 且 删 除 扩展 名 为 GHO 的 备份 文件 。 被 感染 的 用 户 系 统 中 所 有 EXE 可 执行 文件 全 部 
被 改 成 熊猫 举 着 三 根 香 的 模样 ,如 图 4-14 所 示 。 


3 


AV 终结 者 (2007 年 ) 又 名 “ 帕 虫 ”, AV 


文件 但 编辑 (查看) 收 芒 (4) 工具 (D 必 助 ”| 计 | 即 是 “ 反 病 毒 ” 的 英文 (Anti-Virus) 缩 写 , 是 
和 -种 是 闪存 寄生 病毒 ,主要 的 传播 渠道 是 成 
EE EE 人 网 站 、 次 版 电影 网 站 、 盗 版 软件 下 载 站 、 盗 
版 电子 书 下 载 站 。 禁 用 所 有 杀毒 软件 以 及 大 
和 0 | 量 的 安全 辅助 工具 ,让 用 户 计算 机 失去 安全 
写 人 锅 视 党 保障 ; 破坏 安全 模式 ,致使 用 户 根本 无 法 进 
人 Ue 入 安全 模式 清除 病毒 ，AV 终结 者 还 会 下 载 
图 4-14 熊猫 烧香 大 量 盗号 木马 和 远程 控制 木马 。 


磁 碟 机 病毒 (2007 年 ) 会 关闭 一 些 安全 
[ 具 和 杀毒 软件 并 阻止 其 运行 ,对 于 不 能 关闭 的 某 些 辅助 工具 ,会 通过 发 送 窗口 信息 洪水 ， 
使 得 相关 程序 因为 消息 得 不 到 处 理 处 于 假死 状态 ; 会 破坏 安全 模式 ,删除 一 些 杀 毒 软 件 和 
实时 监控 的 服务 ,远程 注入 其 他 进程 来 启动 被 结束 进程 的 病毒 。 病 毒 会 在 每 个 分 区 下 释放 
AUTORUN. INF 来 达到 自 运行 ,感染 除 SYSTEM32 目录 外 其 他 目录 下 的 所 有 可 执行 文 
件 , 并 且 会 感染 RAR 压缩 包 内 的 文件 。 病 毒 造成 的 危害 及 损失 10 倍 于 “熊猫 烧香 ”, 如 
图 4-15 所 示 。 


4-15 ” 磁 碟 机 病毒 
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机 器 狗 病 毒 (2007 年 ) 因 最 初 的 版 本 采用 电子 狗 的 照片 做 图 标 而 被 网 民 命 名 为 “机 器 
狗 ”, 该 病毒 的 主要 危害 是 充当 病毒 木马 下 载 器 ,与 AV 终结 者 病毒 相似 ,病毒 通过 修改 注册 
表 , 使 大 多 数 流行 的 安全 软件 失效 ,然后 疯狂 下 载 各 种 盗号 工具 或 黑客 工具 ,给 用 户 计 算 机 
带 来 严重 的 威胁 。 机 器 狗 病 毒 直接 操作 磁盘 以 绕 过 系统 文件 完整 性 的 检验 ,通过 感染 系统 
文件 (如 explorer. exe,userinit. exe,winhlp32. exe 等 ) 达 到 隐蔽 8 启动; 通过 还 原 系 统 软 件 导 
致 大 量 网 吧 用 户 感 染病 毒 ,无 法 通过 还 原来 保证 系统 的 安全 ,如 图 4-16 所 示 。 


@ 对 不 起 , 驱动 香 序 的 加 瞄 没 有 成 功 , 程序 格 无 法 运行 . 


— we | 


4-16 ”机 器 狗 病毒 


近 几 年 许多 新 的 病毒 ,大 都 具备 了 一 定 的 对 抗 反 病 毒 技术 的 能 力 。 诸 如 多 形 性 病毒 、 轻 
微 破 坏 病毒 和 对 抗 覆盖 法 技术 的 出 现 ,使 得 现 有 的 反 病 毒 技术 受到 很 大 程度 上 的 对 抗 。 多 
形 性 病毒 是 采用 特殊 加 密 技术 编写 的 病毒 ,这 种 病毒 在 每 感染 ig 
病毒 主体 进行 加 密 。 在 多 形 性 病毒 的 不 同样 本 中 ,甚至 不 存在 连续 两 个 字 节 是 相同 的 。 

种 病毒 主要 是 针对 查 毒 软件 而 设计 的 ,所 以 使 得 查 毒 软件 的 编写 更 困难 ,并 且 还 会 ee 
误 报 。 在 这 些 病毒 面前 ,单纯 的 特征 码 技术 已 完全 失去 作用 。 

5) 网 络 蠕虫 

随 着 网 络 应 用 的 日 益 广 泛 ,计算 机 病毒 减少 了 对 传统 传播 介质 的 关注 ,网络 蠕虫 成 为 病 
毒 设计 者 的 首选 

蠕虫 病毒 区 别 于 其 他 各 类 病毒 最 重要 的 特征 是 它 可 以 以 一 个 独立 的 个 体 而 存在 于 一 台 
计算 机 上 ,而 其 他 病毒 都 是 寄生 类 病毒 。 蠕 虫 病毒 自身 就 已 经 可 以 完成 复制 ,传播 感染 、 破 
坏 等 所 有 功能 。 

除了 网 络 具 有 传播 广 .速度 快 的 优点 以 外 ,蠕虫 的 一 些 特征 也 促使 病毒 制造 者 特别 青睐 
这 种 病毒 类 型 。 

蠕虫 病毒 主要 利用 系统 漏洞 进行 传播 ,在 控制 系统 的 同时 ,为 系统 打开 后 门 。 如 “ 尼 达 
姆 ”病毒 就 是 利用 IE 浏览 器 的 漏洞 ,使 得 感染 了 “ 尼 达 姆 "病毒 的 邮件 在 未 进行 手工 打开 附 
件 的 情况 下 病毒 就 能 激活 ,而 此 前 有 很 多 防 病毒 专家 一 直 认 为 ,对 于 带 有 病毒 附件 的 邮件 ， 

只 要 不 打开 附件 ,病毒 就 不 会 有 和 危害。 因此 ,病毒 制造 者 特别 是 一 些 “ 黑 客 ”更 趋向 于 使 用 这 
种 病毒 。 


160 信息 对 抗 与 网 络 安全 (第 3 版 ) 


ee 不 需要 经 过 复杂 的 学 习 , 如 Happy time( 欢 乐 时 光 ) 病 毒 使 用 简单 
的 脚本 语言 编写 。 只 要 仔细 研究 一 下 这 些 蠕虫 病毒 的 源 代 码 ,就 可 以 很 容易 地 编写 一 个 相 
tl 同时 ,由 于 其 编码 的 简单 性 ,甚至 可 以 编写 出 专门 的 病毒 生产 机 ,批量 生成 
变种 病毒 。 尽 管 这 些 病 毒 变 种 在 技术 上 没有 太 多 创新 ,但 是 单纯 使 用 特征 码 扫 描 的 防 病 毒 
软件 并 不 能 识别 这 些 极其 相似 的 病毒 。 

震 网 (Stuxnet,2009 一 2010) 是 一 种 Windows 平 台 上 针对 工业 控制 系统 的 计算 机 蠕虫 ， 
它 是 首 个 旨 在 破坏 真实 世界 ,而 非 虚拟 世界 的 计算 机 病毒 ,利用 西门 子 公司 控制 系统 
(SIMATIC WinCC/Step7) 存 在 的 漏洞 感染 数据 采集 与 监控 系统 (SCADA) ,向 可 编程 逻辑 
控制 器 (PLCs) 写 人 代码 并 将 代码 隐藏 。 这 是 有 史 以 来 第 一 个 包含 PLC Rootkit 的 计算 机 
蠕虫 ,也 是 已 知 的 第 一 个 以 关键 工业 基础 设施 为 目标 的 蠕虫 。 据 报道 ,该 蠕虫 病毒 可 能 已 感 
染 并 破坏 了 伊朗 纳 坦 兹 的 核 设施 ,并 最 终 使 伊朗 的 布什 尔 核电 站 推迟 启动 ,如 图 4-17 所 示 。 


Innnng 
120°n901nO nin 
mn npnTl n1307 In n 


4-17 震 网 病毒 


6) 病毒 向 非 计算 机 设备 领域 扩散 

随 着 WAP 和 信息 家 电 的 普及 ,手机 和 信息 家 电 将 逐步 复杂 和 智能 化 ,手机 、 信 息 
和 Internet 的 结合 也 会 日 益 紧 密 ， pte 
电 转移 。 从 理论 上 说 ,信息 产品 越 复杂 、 和 网 络 联系 越 紧 密 , 这 些 信息 产品 软件 部 分 开放 的 
程度 也 会 越 高 ,利用 软件 缺陷 制造 和 传播 病毒 的 几率 也 就 越 大 。 

手机 病毒 是 以 手机 为 感染 对 象 ,以 手机 网 络 和 计算 机 网 络 为 平台 ,通过 病毒 短信 等 形 
式 , 对 手机 进行 攻击 ,从 而 造成 手机 异常 的 一 种 新 型 病毒 。 

手机 病毒 一 般 会 从 两 个 方面 进行 攻击 ,一 种 是 攻击 移动 网 络 ,通过 对 网 络 服务 器 和 网 关 
的 破坏 与 控制 ,使 用 户 无 法 正常 收发 短信 ,享受 正常 的 移动 数据 服务 ,并 且 还 会 向 手机 用 户 
发 送 大 量 的 垃圾 信息 ,使 用 户 不 胜 其 烦 ; 另 一 种 攻击 方式 是 直接 对 手机 进行 攻击 ,利用 手机 
操作 系统 的 漏洞 ,破坏 手机 操作 系统 ,删除 手机 中 存储 的 数据 ,使 手机 不 能 正常 工作 甚至 崩 
泪 , 并 且 也 有 可 能 损坏 手机 芯片 ,使 手机 硬件 受 损 。 

手机 病毒 初次 登场 是 在 2000 年 6 月 ,世界 上 第 一 个 手机 病毒 VBS. Timofonica 在 西 班 
牙 出 现 。 这 个 新 病毒 通过 运营 商 Telefonica 的 移动 系统 向 该 系统 内 的 任意 用 户 发 送 骂 人 的 
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短 消息 ,这 种 攻击 模式 类 似 于 邮件 炸弹 , 它 通过 短信 服务 运营 商 提供 的 路 由 向 任何 用 户 发 送 
大 量 垃圾 信息 或 者 广告 ,在 大 众 眼 里 ,这 种 短信 炸弹 充其量 也 只 能 算是 恶作剧 而 已 。 

随 着 时 代 的 发 展 ,新 的 病毒 .蠕虫 的 威胁 会 不 断 出 现 ,这 就 有 可 能 影响 到 众多 手持 设备 ， 
日 益 普 及 的 移动 数据 业务 成 为 这 些 病毒 流 生 蔓延 的 温床 ， 一 些 病毒 可 以 利用 手机 芯片 程序 
的 缺陷 ,对 手机 操作 系统 进行 攻击 。 

2014 年 1 月 14 日 开始 出 现 的 “手机 幽灵 ?病毒 伪装 为 “下 载 管理 ”程序 在 后 台 运 行 , 它 
能 够 远程 操控 手机 ,不 经 用 户 许可 ,恶意 删除 或 安装 第 三 方 推广 应 用 。 受 病毒 感染 的 手机 ， 
当 用 户 网 络 连接 状况 发 生变 化 .用 户 手机 解锁 .安装 新 的 应 用 程序 后 ,该 病毒 就 会 自动 开始 
执行 远程 服务 器 的 指令 ,在 后 台 强制 卸载 UC 浏览 器 等 知名 应 用 ,严重 影响 用 户 对 这 些 应 用 
的 正常 使 用 。 除 此 之 外 ,该 病毒 应 用 还 可 以 在 未 获得 用 户 允 许 的 情况 下 ,私自 发 短信 、 弹 出 
广告 .强迫 下 载 安装 第 三 方 推 广 应 用 ,不 仅 恶 意 消耗 用 户 手 机 流量 ,也 使 手机 面临 被 恶意 扣 
费 等 安全 风险 。 截 至 1 月 25 日 ,该 恶意 应 用 线 上 安装 、 卸 载 用 户 总 数 达 到 了 十 几 万 人 次 。 

网 络 安全 机 构 Proofpoint 发 现 了 针对 物 联 网 设备 的 攻击 一 一 僵尸 物 联 网 ”。 从 2013 
年 12 月 23 日 到 2014 年 1 月 6 日 不 到 半 个 月 的 时 间 里 ,全 球 已 经 有 超过 10 万 台 “ 物 联网 ” 
设备 进行 了 发 送 垃 圾 电子 邮件 行为 。 在 这 其 中 并 不 包括 传统 的 笔记 本 、 智 能 手机 和 平板 电 
脑 ,而 指 的 是 许多 媒体 播放 器 ,智能 电视 ,甚至 还 包括 了 一 台电 冰箱 。 这 些 设备 在 这 段 期 间 
内 共计 发 送 了 超过 75 万 份 垃圾 邮件 。 

IDC 机 构 预 测 到 2020 年 ,将 会 有 超过 2000 亿 设 备 将 被 连接 到 网 络 上 。 人 危险 的 是 这 些 
“僵尸 物 联 网 ?很 难 通过 一 般 计 算 机 使 用 的 防 病毒 和 防 垃圾 邮件 软件 程序 来 阻止 ,僵尸 网 络 
攻击 已 经 成 为 了 一 个 主要 的 安全 隐患 问题 ,这 一 新 情况 的 出 现 将 加 剧 安全 问题 。 

【 例 4-1】 删除 脚本 解释 器 防止 脚本 蠕虫 。 

(1) 打开 * 我 的 电脑 ”执行 “工具 ”| 文件 夹 选 项 "命令 ,打开 ”文件 类 型 ”选项 卡 , 出 现 
图 4-18。 

文件 卖 选 项 


常规 “| 查看 “| 文件 类 型 | 脱 机 文件 | 
已 注册 的 文件 类 型 I) 


Visual Basic Group Project 

Visual Basic Control License File 
Visusl Basic Project 

Remote Autonation Registration File 


YBS 扩展 名 的 详细 信息 
打开 方式 : 蚀 . crosoft (r) Windows 


扩展 名 汶 “YES” 的 文件 的 类 型 是 YBSeript Script Files 
的 所 有 1 Veerint Seript File 文 件 的 设置 ,请 


高 级 外 


二 闸 


4-18 “文件 夹 选项 ”对 话 框 
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(2) 选择 VBS 文件 类 型 , 单 击 “ 高 级 "按钮, 出现 图 4-19。 
(3) 在 “操作 ” 框 中 单 击 “ 打 开 ” 命 令 , 再 单 击 “ 编 辑 ” 按 钮 ,出 现 图 4-20。 


编辑 这 种 类型 的 操作 : YBScript script... [3] 区 | 


操作 凶 ) 
打开 (a0) 


用 于 执行 操作 的 应 用 程序 QD); 
(C: \WINDOWS\Syst en32 \ EET TR “1” | 
器 使 用 mm 四 

TDE 消息 四 ) 


在 命令 提示 符 中 打开 外) | 应 用 程序 C) 


Script 


下 载 后 确认 打开 名 ) 未 运行 的 DDE 应 用 程序 四) 


口 始终 显示 扩展 名 地 ) 
在 同一 窗口 中 浏览 四 ) 主题 加): 
System 


图 4-19 “编辑 文件 类 型 ”对话 框 图 4-20 VBSerip 类 型 文件 的 编辑 对 话 框 


(4) 修改 脚本 文件 关联 ,将 默认 的 关联 程序 WScript. exe 修改 成 其 他 文件 ,如 记事 本 
Notepad. exe, 单 击 “ 确 定 ”。 

此 外 ,从 系统 中 删除 WScript. exe 文件 或 将 其 改名 ,也 可 以 使 任何 类 型 的 脚本 文件 无 法 
执行 ,这 样 ,脚本 病毒 也 就 无 法 运行 了 。 


4.3 木 马 


木马 是 特洛伊 木马 的 简称 ,是 一 种 在 远程 计算 机 之 间 建 立 起 连接 ,使 远程 计算 机 能 通过 
网 络 控制 本 地 计算 机 上 的 程序 。 它 冒名 项 蔡 ,以 人 们 所 知晓 的 合法 而 正常 的 程序 (如 计算 机 
游戏 压缩 工具 力 至 防治 计算 机 病毒 软件 等 ) 面 目 出 现 , 来 达到 欺骗 欲 获得 该 合法 程序 的 用 
户 将 之 在 计算 机 上 运行 ,产生 用 户 所 料 不 及 的 破坏 后 果 之 目的 。 通 俗 地 讲 , 木 马 就 是 一 种 
“ 挂 羊 头 , 卖 狗 肉 ”的 实施 破坏 作用 的 计算 机 程序 。 

从 本 质 上 讲 , 木 马 程序 属于 远程 管理 工具 的 范畴 ,如 PCAnyWhere 等 ,其 目的 在 于 通过 
网 络 进行 远程 管理 控制 。 木 马 和 远程 控制 软件 的 区 别 在 于 木马 具有 隐蔽 性 ,远程 控制 软件 
的 服务 器 端 在 目标 计算 机 上 运行 时 ,目标 计算 机 上 会 出 现 很 醒目 的 标志 ,而 木马 类 软件 的 服 
务 器 端 在 运行 时 则 使 用 多 种 手段 来 隐藏 自己 。 


4.3.1 木马 原理 


一 般 情 况 下 ,木马 程序 由 服务 器 端 程序 (Server) 和 客户 端 程序 (Client) 组 成 。 其 中 
Server 端 程序 安装 在 被 控制 对 象 的 计算 机 上 ,Client 端 程序 是 控制 者 所 使 用 的 ,Server 端 程 
序 和 Client 端 程序 建立 起 连接 就 可 以 实现 对 远程 计算 机 的 控制 了 。 在 通过 Internet 将 服务 
器 程序 和 客户 端 程序 连接 后 , 若 用 户 的 计算 机 运行 了 服务 端 程序 , 则 控制 者 就 可 使 用 客户 端 
程序 来 控制 用 户 的 计算 机 ,实现 对 远程 计算 机 的 控制 。 
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1. 木马 的 发 展 过 程 

从 木马 的 发 展 来 看 ,基本 上 可 以 分 为 两 个 阶段 。 在 网 络 还 处 于 以 UNIX 平台 为 主 的 
时 期 ,木马 就 产生 了 , 当时 的 木马 程序 功能 相对 简单 ,往往 是 将 一 段 程序 嵌入 系统 文件 
中 ,用 跳 转 指令 来 执行 一 些 木马 的 功能 。 这 个 时 期 木马 的 设计 者 和 使 用 者 大 都 是 具备 相 
当 的 网 络 和 编程 知识 的 技术 人 员 。 随 着 Windows 平台 的 日 益 普 及 ,一 些 基于 图 形 操作 的 
木马 程序 出 现 了 ,用 户 界面 的 改善 ,使 用 者 不 用 懂 太 多 的 专业 知识 就 可 以 熟练 地 操作 木 
马 , 木 马 入 侵 事 件 也 频繁 出 现 , 而 且 由 于 这 个 时 期 木马 的 功能 已 日 趋 完善 ,因此 破坏 性 也 
更 大 了 。 

世界 上 第 一 个 计算 机 木马 是 出 现在 1986 年 的 PC-Write 木马 。 它 伪装 成 共享 软件 PC- 
Write 的 2.72 版 本 (事实 上 ,编写 PC-Write 的 Quicksoft 公司 从 未 发 行 过 2. 72 版 本 ) ,一 旦 
用 户 信以为真 运行 该 木马 程序 ,那么 他 的 下 场 就 是 硬盘 被 格式 化 。 此 时 的 第 一 代 木 马 还 不 
具备 传染 特征 。 

木马 第 一 次 和 病毒 联合 是 1988 年 11 月 的 “ 葛 里 斯 蠕虫 ”事件 ,英里 斯 蠕虫 是 第 一 个 里 
虫 程序 ,并 且 附 带 了 一 个 盗窃 别人 密码 的 木马 程序 在 里 面 。 

1989 年 出 现 了 AIDS 木马 。 由 于 当时 很 少 有 人 使 用 电子 邮件 ,所 以 AIDS 的 作者 就 利 
用 现实 生活 中 的 邮件 进行 散播 : 给 其 他 人 寄 去 一 封 封 含有 木马 程序 软盘 的 邮件 。 之 所 以 叫 
这 个 名 称 是 因为 软盘 中 包含 AIDS 和 HIV 疾病 的 药品 价格、 预防 措施 等 相关 信息 。 软 盘 
中 的 木马 程序 运行 后 ,虽然 不 会 破坏 数据 ,但 是 它 将 硬盘 加 密 锁 死 ,然后 提示 受 感染 用 户 花 
钱 消 灾 。 可 以 说 第 二 代 木 马 已 具备 了 传播 特征 (尽管 通过 传统 的 邮递 方式 ) 。 

随 着 Internet 的 普及 ,新 一 代 木 马 出 现 了 , 它 兼 备 伪装 和 传播 两 种 特征 并 结合 TCP/IP 
网 络 技术 四 处 泛滥 。 木 马 的 主要 目标 也 不 再 是 进行 文件 和 系统 的 破坏 ,而 是 带 有 收集 密码 、 
远程 控制 等 功能 ,这 段 时 期 比较 有 名 的 有 国外 的 BO2000(BackOrifice) 和 国内 的 冰河 木马 。 
它们 有 以 下 共同 特点 : 基于 网 络 的 客户 端 / 服 务 器 应 用 程序 。 具 有 搜集 信息 、 执 行 系统 命 
令 .重新 设置 机 器 .重新 定向 等 功能 。 当 木马 程序 攻击 得 手 后 ,计算 机 就 完全 成 为 黑客 控制 
的 佛 偶 主机 ,黑客 成 了 超级 用 户 ,用 户 的 所 有 计算 机 操作 不 但 没有 任何 秘密 而 言 ,而且 黑 客 
可 以 远程 控制 倪 偶 主机 对 别 的 主机 发 动 攻击 ,这 时 候 被 俘获 的 倪 偶 主机 成 了 黑客 进行 进 一 
步 攻击 的 挡 箭牌 和 跳板 。 

这 时 期 的 木马 比较 显著 的 特点 是 以 单独 的 程序 形式 存在 , 带 来 的 问题 是 木马 的 网 络 行 
为 很 容易 被 一 些 个 人 防火 墙 所 阻 断 。 为 了 解决 这 个 问题 ,一 种 新 的 技术 被 广泛 应 用 ,这 就 是 
进程 注入 技术 。 进 程 注入 技术 是 将 代码 注入 另 一 个 进程 ,并 以 其 上 下 文 运行 的 一 种 技术 。 
木马 经 常 把 自己 注入 正 浏览 器 中 ,由 于 IE 浏览 器 经 常 需要 访问 网 络 , 因 此 在 防火 墙 弹出 是 
否 允 许 下 浏览 器 访问 网 络 时 ,用 户 经 常会 单 击 允 许 ,殊不知 自己 机 器 中 的 木马 已 经 偷偷 地 
去 连接 网 络 了 。 

21 世纪 以 来 ,各 种 脚本 病毒 .蠕虫 病毒 .黑客 程序 等 和 木马 的 结合 越 来 越 紧密 ,病毒 和 
木马 技术 的 发 展 速度 空前 高 涨 。2001 年 8 月 爆发 了 “红色 代码 [ ”病毒 ,除了 其 巨大 的 危害 
以 外 ,病毒 释放 出 的 木马 可 以 使 中 毒 者 的 计算 机 完全 暴露 ,通过 网 络 被 任何 人 控制 。2002 
年 爆发 的 Bugbear 病毒 ,不 用 打开 附件 就 可 以 中 毒 ,并 且 释 放 一 个 木马 来 记录 受害 者 的 键盘 
输入 。2003 年 的 “ 巨 无 霸 ? 病 毒 可 以 从 自 带 的 列表 中 下 载 木 马 执行 ,让 受害 者 的 计算 机 毫 无 
遮 拦 地 暴露 在 网 络 上 。 
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对 于 杀毒 软件 来 说 ,使 用 成 熟 的 特征 码 杀毒 技术 仍然 可 以 通过 和 对 病毒 同样 的 处 理 手 
段 对 此 时 的 木马 进行 查 杀 。 但 从 2004 年 开始 ,一 切 变 得 不 一 样 了 。2004 年 ,在 黑客 圈子 内 
部 ,有 人 公开 提出 免 杀 技术 ,这 种 技术 是 针对 杀毒 软件 的 特征 码 直 接 修 改 木 马 的 二 进 制 代 
码 , 由 于 当时 还 没有 强 有 力 的 工具 出 现 , 所 以 一 般 都 使 用 WinHEX 工具 逐 字 节 更 改 , 需 要 相 
当 的 技术 能 力 , 这 种 手工 方式 只 在 少数 黑客 内 部 流传 。 

2005 年 ,著名 的 免 杀 工具 CCL ,一 个 自动 化 的 特征 码 定 位 工具 被 公布 ,这 使 得 免 杀 技术 
在 很 短 的 时 间 内 开始 公开 化 。 一 批 黑客 站 点 有 意 或 无 意 的 宣传 使 得 越 来 越 多 的 人 开始 讨论 
免 杀 技术 ,各 大 杀毒 软件 面临 严重 的 信任 危机 。 一 个 懂 一 点 基本 的 PE 文件 知识 与 免 杀 工 
具 的 使 用 的 初学 者 就 可 以 轻易 编辑 一 个 木马 ,修改 其 特征 码 使 其 躲 过 杀毒 软件 的 检测 。 据 
统计 ,著名 木马 灰 鲁 子 曾 在 短 短 一 年 之 内 出 现 超过 6 万 个 变种 , 绝 大 部 分 都 源 于 免 杀 技术 的 
普及 。 

同样 也 是 在 这 一 年 ,一 些 杀 毒 厂商 提出 * 主 动 防御 ”的 概念 ,这 门 听 起 来 显得 很 专业 的 技 
术 是 用 来 增强 已 经 对 木马 不 再 构成 杀伤 力 的 特征 码 识别 技术 。 通 过 对 病毒 行为 规律 分 析 、 
归纳 .总结 ,并 结合 反 病毒 专家 判定 病毒 的 经 验 ,提炼 成 病毒 识别 规则 知识 库 。 模 拟 专家 发 
现 新 病毒 的 机 理 , 通 过 对 各 种 程序 动作 的 自动 监视 ,自动 分 析 程 序 动作 之 间 的 迎 辑 关系 , 综 
合 应 用 病毒 识别 规则 知识 ,实现 自动 判定 新 病毒 ,达到 主动 防御 的 目的 。 

通过 这 种 技术 ,在 木马 访问 网 络 .注入 进程 等 行为 发 生 时 ,杀毒 软件 会 及 时 通告 给 用 户 。 
虽然 还 不 完善 ,但 至 少 还 是 可 以 对 未 知 的 木马 做 出 一 定 的 预警 。 

道 高 一 尺 , 魔 高 一 丈 ,为 了 抵御 主动 防御 技术 ,木马 的 开发 者 们 又 把 目光 转向 了 一 门 新 
的 技术 一 一 ROOTKIT 技术 。 这 种 技术 最 早 应 用 于 UNIX 系统 ,也 被 称 为 “系统 级 后 门 ”， 
就 是 在 操作 系统 中 通过 艇 入 代码 或 模块 的 方式 掌握 系统 控制 权 ,方便 以 后 随时 登录 系统 。 
木马 主要 通过 ROOTKIT 技术 来 隐藏 自己 ,使 杀毒 软件 无 法 察觉 木马 的 存在 ,或 者 干脆 从 
系统 级 上 禁用 杀毒 软件 的 某 些 功能 。 这 样 一 来 ,木马 和 杀毒 软件 的 争夺 主要 就 集中 在 系统 
控制 权 的 争夺 上 了 。 谁 能 拿 到 系统 控制 权 就 可 以 反 制 另 一 方 ,从 2006 年 开始 ,双方 的 争夺 
开始 进入 白热化 ,新 的 突破 点 和 防护 点 不 断 被 研究 出 来 。 但 总 体 上 说 ,杀毒 软件 处 于 被 动 状 
态 ,毕竟 操作 系统 涉及 的 方方面面 太 广 了 ,只 要 无 法 进行 系统 级 的 全 面 防护 ,那么 一 旦 单 点 
被 突破 就 前 功 尽 弃 。 

未 知 木马 样本 的 收集 对 于 杀毒 软件 来 说 也 是 个 新 的 挑战 ,现代 高 级 木马 可 以 做 到 让 用 
户 毫 无 差 觉 ,没有 进程 ,启动 后 没有 文件 ,这 样 就 很 难 用 收集 样本 的 方式 来 进行 分 析 , 而 在 没 
有 样本 的 条 件 下 进行 木马 分 析 简 直 是 太 难 了 。 

例如 2007 年 7 月 ,一 个 新 的 不 可 检测 的 ROOTKIT 一 一 Rustock.c 发 布 ,但 在 接近 一 
年 后 ,Dr. Web( 一 个 俄罗斯 反 病 毒 公司 ) 的 研究 人 员 才 对 外 宣称 他 们 已 经 发 现 了 Rustock. c 
的 样本 ,并 确认 在 当时 的 系统 保护 手段 下 这 个 木马 是 不 可 检测 的 。 

当时 间 来 到 2008 年 ,两 个 新 的 进展 给 了 人 们 摆脱 这 种 尴 众 局 面 的 希望 。 第 一 个 是 芯片 
厂商 推出 的 芯片 安全 和 虚拟 化 技术 ,这 使 得 安全 软件 有 和 希望 得 到 系统 的 彻底 控制 权 , 随 着 技 
术 的 发 展 ,基于 这 种 技术 的 安全 软件 有 望 在 不 远 的 未 来 出 现 ; 另 一 方面 ,基于 虚拟 化 芯片 技 
术 的 ROOTKIT 也 将 揭 开 神秘 的 面纱 ,两 者 的 对 抗 仍 将 继续 。 

另 一 个 有 变革 性 意义 的 技术 是 安全 厂商 推出 的 云 安全 技术 ,这 项 技术 将 从 过 去 由 用 户 
受到 攻击 之 后 再 杀毒 ,到 现在 的 侧重 于 防毒 ,实现 一 个 根本 意义 上 的 转变 。 
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2. 木马 的 特点 

木马 具有 隐蔽 性 和 非 授权 性 的 特点 。 所 谓 隐藏 性 是 指 木马 的 设计 者 为 了 防止 木马 被 发 
现 ,会 采用 多 种 手段 隐藏 木马 ,用 户 即 使 发 现 感染 了 木马 ,由 于 不 能 确定 其 具体 位 置 ,往往 只 
能 望 “ 马 ?兴叹 。 

所 谓 非 授权 性 是 指 一 旦 控制 端 与 服务 端 连 接 后 ,控制 端 将 享有 服务 端的 大 部 分 操作 权 
限 ,包括 修改 文件 ,修改 注册 表 、 控 制 鼠 标 、 键 盘 等 ,而 这 些 权 力 并 不 是 服务 端 赋予 的 ,而 是 通 
过 木马 程序 窃取 的 。 

木马 程序 本 身 很 小 ,执行 后 将 自动 加 入 系统 启动 区 执行 ,具有 自我 加 载 的 特点 。 执 行 过 
程 中 木马 程序 并 不 会 在 系统 中 显示 ,使 用 者 很 难 察觉 有 木马 程序 常 驻 在 系统 中 。 

3. 木马 的 危害 

木马 的 主要 危害 是 对 系统 安全 性 的 损害 ,木马 的 典型 症状 是 偷窃 口令 ,包括 拨号 上 网 的 
口令 .信箱 口令 .主页 口令 .甚至 信用 卡 口令 等 。 其 次 ,可 以 通过 木马 程序 传播 病毒 。 最 后 ， 
它 能 使 远程 用 户 获得 本 地 机 器 的 最 高 操作 权限 ,通过 网 络 对 本 地 计算 机 进行 任意 操作 ,例如 
添加 删除 程序 .锁定 注册 表 .获取 用 户 保密 信息 、 远 程 关 机 等 。 木 马 使 用 户 的 计算 机 完全 暴 
露 在 网 络 环境 之 中 ,成 为 别人 操纵 的 对 象 。 

4. 木马 的 种 类 

自 木 马 程序 诞生 以 来 ,已 经 出 现 了 许多 类 型 ,下面 是 一 些 常见 的 分 类 

1) 远程 访问 型 木马 

远程 访问 型 木马 是 数量 最 多 ,危害 最 大 ,同时 也 是 知名 度 最 高 的 一 种 木马 。 这 种 木马 可 
以 访问 远程 硬盘 、 安 装 服务 端 程序 。 通 过 运行 服务 端 程序 ,就 可 以 获得 远程 机 器 的 IP 地 址 ， 
进而 控制 异地 的 计算 机 。 这 种 木马 可 以 使 远程 控制 者 在 本 地 机 器 上 做 任何 事情 ,使 其 在 被 
感染 的 计算 机 上 为 所 欲 为 ,可 以 任意 访问 文件 ,得 到 机 主 的 私人 信息 。 这 种 类 型 的 木马 有 著 
名 的 BO(CBack Office) .国产 的 冰河 等 。 

2) 密码 发 送 型 木马 

密码 发 送 型 木马 的 目的 是 找到 所 有 的 隐藏 密码 ,并 且 在 受害 者 不 知道 的 情况 下 把 它们 
发 送 到 指定 的 信箱 。 木 马 一 旦 被 执行 ,就 会 自动 搜索 内 存 、cache 临时 文件 夹 以 及 各 种 敏感 
密码 文件 ,搜索 到 密码 后 ,木马 就 会 将 密码 发 送 到 指定 的 邮箱 。 这 类 木马 大 多 数 使 用 25 号 
端口 发 送 E-mail。 

3) 键盘 记录 型 木马 

键盘 记录 型 木马 是 一 种 非常 简单 的 木马 , 它 只 做 一 种 事情 ,就 是 记录 受害 者 的 键盘 项 
击 , 并 且 在 LOG 文件 里 做 完整 的 记录 。 这 种 特洛伊 木马 随 着 Windows 的 启动 而 启动 ,记录 
受害 者 在 线 和 离线 状态 下 敲 击 键盘 时 的 按键 情况 。 下 木马 的 人 可 以 从 中 分 析出 有 用 信息 。 

4) 毁坏 型 木马 

毁坏 型 木马 的 唯一 功能 是 毁坏 并 且 删 除 文件 。 该 木马 可 以 自动 删除 计算 机 上 的 所 有 
DLL 或 INI 或 EXE 文件 。 这 是 非常 危险 的 特洛伊 木马 ,一 旦 感染 该 木马 而 没有 及 时 删除 ， 
计算 机 中 的 信息 会 在 硕 刻 间 “ 灰 飞 烟 灭 ”。 

5) DoS 攻击 木马 

给 受害 者 种 上 DoS 攻击 木马 ,日 后 这 台 计 算 机 就 成 为 DoS 攻击 的 得 力 助手 。 这 种 木马 
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的 危害 体现 在 攻击 者 可 以 利用 它 来 攻击 一 台 又 一 台 计 算 机 ,给 网 络 造 成 很 大 的 伤害 和 损失 。 

6) FTP 型 木马 

FTP 型 木马 能 够 打开 计算 机 的 21 端口 (FTP 所 使 用 的 默认 端口 ) ,使 网 络 中 的 其 他 用 
户 可 以 用 一 个 FTP 客户 端 程序 而 不 用 密码 连接 到 计算 机 ,并 且 可 以 进行 最 高 权限 的 上 传 
下 载 。 

7) 反弹 端口 木马 

普通 木马 工作 时 都 是 由 客户 端 向 服务 器 端 发 送 请求 的 ,而 一 旦 服务 器 端 装 有 防火 墙 的 
话 , 防 火 墙 就 会 对 一 切 外 来 数据 进行 检测 ,除了 定义 好 的 合格 数据 包 外 ,其 他 一 切 数据 包 都 
会 被 过 滤 掉 ,这 样 木马 就 不 能 实现 连接 ,破坏 就 无 从 谈 起 。 但 防火 墙 在 默认 情况 下 认为 所 有 
向 外 的 数据 包 都 是 正常 的 ,这 就 为 反弹 端口 木马 打下 了 基础 。 反 弹 端口 木马 是 由 服务 器 端 
向 外 发 送 连接 请 求 , 这 样 的 请 求 数据 包 不 会 给 防火 墙 拦截 , 当 客户 端的 数据 包 经 过 防火 墙 
时 ,防火 墙 也 会 以 为 那 是 正常 数据 包 的 返回 信息 。 大 名 易 易 的 “网 络 神偷 就 是 反弹 端口 木 
马 的 典型 代表 。 

5. 木马 的 伪装 方式 


木马 通常 会 进行 伪装 以 欺骗 他 人 执行 木马 的 服务 器 端 程序 ,下 面 是 常见 的 伪装 方式 : 

1) 修改 图 标 

对 木马 程序 的 图 标 进行 修改 ,从 而 伪装 成 其 他 类 型 的 文件 ,以 达到 欺骗 用 户 的 目的 。 现 
在 有 的 木马 已 经 可 以 将 木马 服务 端 程序 的 图 标 改 成 HTML、TXT、ZIP 等 各 种 文件 的 图 标 ， 
具有 相当 大 的 迷惑 性 。 

2014 年 8 月, 受 某 明 星 吸 毒 事件 影响 ,一 个 “两 岸 三 地 120 名 艺人 涉 毒 名 单 " 在 网 上 被 
疯狂 转发 ,而 实际 上 是 一 个 名 为 120mingdan. doc. exe 的 文件 ,如 图 4-21 所 示 。 它 通过 隐藏 
文件 扩展 名 将 自身 伪装 成 一 个 Word 文档 。 用 户 一 旦 运行 ,电脑 将 被 黑客 控制 , 沦 为 肉鸡 ， 
导致 用 户 的 隐私 信息 .账号 密码 被 盗 。 


图 4-21 修改 图 标 


2) 出 错 显示 

如 果 打开 一 个 文件 后 没有 任何 反应 ,这 很 可 能 就 是 个 木马 程序 ,木马 的 设计 者 也 意识 到 
了 这 个 缺陷 ,所 以 已 经 有 木马 提供 了 一 个 叫 作出 错 显示 的 功能 。 当 服务 端 用 户 打 开 木 马 程 
序 时 ,会 弹出 一 个 错误 提示 框 (当然 是 假 的 ) ,错误 内 容 可 自由 定义 ,大 多 会 定制 成 一 些 诸如 
“文件 已 破坏 ,无 法 打开 !? 之 类 的 信息 , 当 服务 端 用 户 信以为真 时 ,木马 却 悄悄 侵入 了 系统 。 

3) 定制 端口 

很 多 老式 的 木马 端口 都 是 固定 的 ,这 给 判断 是 否 感染 了 木马 带 来 了 方便 ,只 要 查 一 下 特 
定 的 端口 就 知道 感染 了 什么 木马 ,所 以 现在 很 多 新 式 的 木马 都 加 入 了 定制 端口 的 功能 ,控制 
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端 用 户 可 以 在 1024 一 65 535 任 选 一 个 端口 作为 木马 端口 ,这 样 就 给 判断 所 感染 的 木马 类 型 
带 来 了 麻烦 。 

4) 自我 销毁 

当 服 务 端 用 户 打 开 含 有 木马 的 文件 后 ,木马 会 将 自己 复制 到 Windows 的 系统 文件 夹 
中 。 一 般 来 说 源 木马 文件 和 系统 文件 夹 中 的 木马 文件 的 大 小 是 一 样 的 (捆绑 文件 的 木马 除 
外 ) ,那么 中 了 木马 的 系统 只 要 在 近来 收 到 的 信件 和 下 载 的 软件 中 找到 源 木马 文件 ,然后 
根据 源 木马 的 大 小 去 系统 文件 夹 中 找到 相同 大 小 的 文件 ,判断 一 下 哪个 是 木马 就 行 了 。 
木马 的 自我 销毁 功能 弥补 了 木马 的 这 一 缺陷 。 当 安装 完 木 马 后 , 源 木马 文件 将 自动 销 
毁 , 这 样 服务 端 用 户 就 很 难 找到 木马 的 来 源 ,在 没有 查 杀 木马 的 工具 帮助 下 ,就 很 难 删除 
木马 了 。 

5) 木马 更 名 

安装 到 系统 文件 夹 中 的 木马 的 文件 名 一 般 是 固定 的 ,那么 只 要 根据 一 些 查 杀 木马 的 文 
章 , 在 系统 文件 夹 中 查找 特定 的 文件 ,就 可 以 断定 中 了 什么 木马 。 所 以 现在 有 很 多 木马 都 允 
许 控制 端 用 户 自由 定制 安装 后 的 木马 文件 名 ,这 样 就 很 难 判 断 所 感染 的 木马 类 型 了 。 

6) 捆绑 文件 

将 木马 捆绑 到 一 个 安装 程序 上 , 当 安 装 程序 运行 时 ,木马 在 用 户 毫 无 察觉 的 情况 下 , 偷 
偷 地 进入 系统 。 也 可 以 将 木马 和 一 张 图 片 捆绑 , 当 用 户 打开 “图 片 ” 时 ,木马 就 在 后 台 不 知 不 
觉 地 运行 了 。 

【 例 4-2〗 使 用 WinRAR 自 解 压 功 能 伪装 木马 。 

(1) 将 冰河 木马 服务 器 端 程序 G_Server. exe 和 图 片 文件 test. jpg 放 在 目录 test 中 , 选 
中 这 两 个 文件 , 单 击 鼠 标 右键 ,选择 “添加 到 test. rar”。 

(2) 打开 test. rar 文件 ,出 现 如 图 4-22 所 示 的 窗口 。 


江 test. rar WinRAR (评估 版 本 ) 

文件 全 ) 命令 {C) 收 蕊 丈 @) 选项 0 帮助 0 

逢 内 时 由 也 埠 哈 时 壹 玉芝 
添加 。 解 让 到 测试 信息 

国 ;性 ese. rar - BAE 压缩 文件 ， 解 包 大 小 为 982 438 字 节 


医 二 个 大 小 压 妨 后 大 小 | 类 型 修改 时 间 CRC32 
医 亚 : 
6_Server. exe 286, 240 258 871 ”应 用 程序 2000-4-21 1... A3099CES 


目 解 压 


图 test jpg 716, 196 T13112 ”ACDSee 6.0 JPEG... 2005-8-7 11:24 EFS507P6 


共有 962, 436 字 节 忆 个 文件 ) 


图 4-22 将 木马 服务 器 端 程序 与 图 片 文件 一 起 压缩 


(3) 单 击 “ 自 解压 ”按钮 ,出 现 图 4-23。 
(4) 单 击 “ 高 级 自 解 压 选 项 ”按钮 ,出 现 图 4-24。 
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江 压 第 文件 test. rar 

信息 选项 | 注释 | 自 解 庄 格式 | 
选择 命令 
各 不 改变 自 解 压 模块 如 


句 泊 加 新 的 自 杰 压 种 块 人 
从 压缩 六 件 中 出 除 已 经 存在 的 自 解压 模块 电 


回 在 Fromrm Files 中 创建 中) 
〇 在 当前 文件 夹 中 创建 CC) 


选择 自 解压 模块 由) » 


模块 描述 

Tefavlt. SFX Windows 图 形 界面 RAR 自 解压 模块 

Dos. SPX DO0S RAR 自 解压 模块 pe 

YinFen SFX Windows 控制 台 RAR 自 解压 模块 安装 程序 
解压 后 运行 EE) 


解压 前 运行 @) 


保存 当前 设置 为 默认 值 E) 


[mm | em 2 


图 4-23 自 解压 图 4-24 高 级 自 解压 选项 


(5) 在 “解压 缩 路 径 ” 中 填 入 解压 后 的 路 径 , 在 “解压 缩 之 后 运行 "文本 框 中 输入 木马 的 
服务 器 端 程序 G_server. exe, 在 “解压 缩 之 前 运行 "文本 框 中 输入 图 片 文件 test. jpg。 

(6) 打开 “模式 ”选项 卡 , 选 择 “ 全 部 隐藏 "和 “覆盖 所 有 文件 ”, 如 图 4-25 所 示 , 这 两 个 选 
项 是 为 了 不 让 WinRAR 解压 时 弹出 窗口 。 


高 级 自 解压 选项 
[党 规 [高 级 模式。 [文本 和 图 标 [ 许 可 [模块 | 
临时 醒 式 

口 解 包 到 临时 文件 夹 I[) 

| 


侣 隐 疗 启动 对 话 答 E) 
加 全 部 隐 若 中 


覆盖 方式 

〇 驯 羡 前 询问 @B) 

固 杜 著 所 有 文件 5 

人 〇 跳 过 已 存在 的 文件 区 ) 


图 4-25 加 强 隐 藏 效果 


(7) 连续 单 击 “ 确 定 ” 按 钮 ,关闭 WinRAR 窗口 。 这 样 就 完成 了 捆绑 ,在 同一 目录 下 生 
成 了 test. exe 文件 。 

(8) 运行 test. exe 文件 ,系统 调用 默认 关联 的 图 片 查 看 器 打开 test. jpg 文件 ,并 悄悄 运 
行 G_server. exe 文件 。 
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【 例 4-3】 使 用 EXEbinder 伪装 木马 。 

(1) 运行 EXEbinder 软件 ,出 现 图 4-26 。 

(2) 单 击 “ 执 行文 件 1” 按 钮 ,选择 木马 的 服务 器 端 程序 ,如 冰河 G_Server. exe。 

(3) 单 击 “ 执 行文 件 2” 按 钮 ,选择 一 个 常见 的 文件 ,如 记事 本 notepad. exe 文件 。 

(4) 单 击 “目标 文件 ”按钮 ,选择 运行 notepad. exe 文件 后 木马 种 植 的 路 径 和 文件 名 ,如 
图 4-27 所 示 。 


EXE 捆 涛 机 XP 版 | x EXE 捆 乡 机 XP 版 


设置 


执行 文件 ! | 三 网 时 安全 \ 软 伞 \ch4\G_Server_ exe 
执行 文件 2|[ 执行 文件 2 | 乒 网 绍 灾 至 \ 联 件 Vch4OTEPND EXE 


目标 文件 | | 目标 文件 | 风 纺 与 网 结 安 全 (软件 (ehdVtest exe 
扫 峰 退出 退出 


图 4-26 ”EXEbinder 运行 界面 图 4-27 ”木马 捆绑 的 设置 


(5) 单 击 “捆绑 ”按钮 ,完成 木马 的 伪装 工作 ,如 图 4-28 所 示 。 

(6) 到 别 的 机 器 中 运行 test. exe 文件 ,出 现 记事 本 ,但 同时 
在 后 人 台 悄 悄 地 运行 了 G_Server. exe 文件 ,种 植 了 冰河 木马 。 如 
图 4-29 所 示 , 在 Windows 任务 管理 器 中 新 增 了 test. exe、 
notepad. exe、kernel32. exe 和 Sysexplr. exe 4 个 进程 ,后 两 个 是 
冰河 程序 。 


图 4-28 完成 木马 的 伪装 


所 Windows 任务 管理 器 

文件 EE) 选项 @) 查看 关机 WW 帮助 0D 
[应 用 程序 | 进程 ”[ 性 能 “| 联网 | 用 户 | 
映像 名 称 用 记名 


Kernel32. exe 
NOTEPAD. EXE Adninistrator 


< 四 


test exe Administrator 
taskngr. exe Adninistrator 
conine. exe Administrator 
mupdate. exe Adninistrator 
tfnon. exe Adninistrator 
RUNDLL32. exe Adninistrator 
KAVSveUT. EXE Adninistrator 
hpruSchd2. exe Adninistrator 
hpenpner. exe Adninistrator 
SysExplr. exe Adninistrator 
inetinfo. exe SYSTEN 

cisve, exe SYSTEN 

spoolsv. exe SYSTEN 

WINPORD. EXE Adninistrator 
EXPLORER. EXE Adaninistrator 
园 dh 


口 显示 所 有 用 户 的 进程 E) 


进程 数 : 36 CPU 使 用 : 100% 


图 4-29 悄悄 运行 冰河 木马 
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6. 木马 的 运行 机 制 

攻击 者 通过 欺骗 等 方法 使 受害 者 运行 木马 的 Server 端 程序 后 ,程序 将 常 驻 在 内 存 中 并 
开放 一 个 特殊 的 端口 ,通过 监听 该 端口 以 确定 是 否 有 客户 端 程序 需要 进行 远程 连接 。 如 果 
收 到 一 个 连接 请 求 , 则 Server 程序 将 等 待 来 自 客户 端的 指令 以 执行 相应 的 操作 。 

7. 2013 年 三 季度 恶意 程序 分 析 

表 4-3 给 出 了 云 查询 拦截 量 排名 前 10 的 恶意 程序 名 称 、 恶 意 程 序 云 查询 拦截 量 和 恶意 
程序 对 应 的 恶意 行为 。 

表 4-3 2013 年 3 季度 恶意 程序 TOP10 


恶意 程序 类 别名 称 云 拦 截 查询 量 恶意 行为 

Trojan. Win32. FakeFolder 567 022 952 ”伪装 成 淘宝 收藏 夹 ,劫持 用 户 单 击 指向 淘宝 卖家 店铺 

Trojan. Win32. Liuliangbao 314 929 415 后 台 恶 意 刷 流量 

Trojan. Win32. SearchClick 301 537722 ”劫持 用 户 搜 索引 擎 流量 到 推广 链接 

Trojan. Win32. FakeLPK 142 502 330 ”伪装 成 lpk. dll, 启 动 后 门 程序 ,远程 控制 用 户 电脑 

Backdoor. Win32. Rbot 102 361 334 ”后 门 病毒 ,将 自身 注册 为 服务 并 下 载 其 他 恶意 程序 

Virus. Win32. Parite 25 699 776 感染 型 病毒 ,并 在 本 地 创建 网 络 连接 端口 ,用 于 接收 远 
程 指令 ,控制 用 户 电脑 

Trojan. win32. UrlHijack 22 255 321 ”淘宝 客 木 马 ,隐藏 在 某 游戏 软件 中 , 当 用 户 访问 淘宝 或 
百度 时 , 跳 转 到 推广 劫持 页 面 

VirusOrg. Win32. Alman 31122729 ”感染 型 病毒 ,远程 控制 用 户 电 脑 ,下 载 其 他 恶意 软件 

Trojan. Win32. Spy 13 077 644 ”DNF 盗号 木马 ,通过 远程 3389 端口 控制 用 户 电 脑 , 资 
取 DNF 账号 

Worm. Win32. AutoRun 11171 919 ”远程 控制 木马 ,向 U 盘 和 移动 硬盘 中 写 人 Autorun. inf 


指向 自身 ,用 户 双击 打开 U 盘 即 会 运行 木马 ,开启 后 
门 端口 ,远程 控制 用 户 电脑 


从 这 份 榜 单 上 看 ,远程 控制 木马 ,淘宝 客 木马 、 刷 流量 型 木马 和 盗号 木马 是 2013 年 第 三 
季度 最 为 活跃 的 恶意 程序 。 

1)“ 收 藏 夹 替 身 ? 堪 称 木马 之 王 

排 在 榜 单 第 一 位 的 恶意 程序 是 一 款 淘宝 店铺 推广 木马 , 称 之 为 “收藏 夹 替 身 ”, 其 云 查询 
拦截 量 达 到 了 约 5.7 亿 次 。 该 木马 会 用 淘宝 店铺 的 链接 替换 掉 用 户 电 脑 中 的 淘宝 网 收藏 
夹 ,如果 用 户 没有 收藏 淘宝 , 则 会 自动 为 用 户 创建 收藏 。 用 户 单 击 收 藏 夹 内 链接 会 直接 进入 
该 淘宝 店铺 页 面 ,从 而 实现 为 店铺 进行 推广 的 目的 。 

这 种 木马 看 似 对 用 户 没 有 实质 性 伤害 ,但 其 实 该 木马 指向 的 网 站 可 以 随意 变化 ,如 果 指 
向 了 假冒 淘宝 网 的 钓鱼 欺诈 网 站 ,那么 很 可 能 给 用 户 带 来 经 济 损失 。 

2) 远程 控制 木马 反常 活跃 

远程 控制 木马 曾经 十 分 流行 ,利用 该 类 木马 ,黑客 可 以 远程 操控 用 户 电脑 ,使 用 户 的 电 
脑 沦 为 肉鸡 ,但 近年 来 国内 已 经 很 少 出 现 。 三 季度 TOP10 木马 中 出 现 多 个 远程 控制 木马 ， 
值得 用 户 和 安全 厂商 警惕 ,很 可 能 与 国内 网 站 流量 攻击 和 社交 媒体 营销 黑 产 有 关 。 

3) 广告 推广 木马 渐 成 主流 

排 在 第 1 位 .第 2 位 .第 3 位 和 第 7 位 的 恶意 程序 都 属于 恶意 推广 程序 ,基本 行为 都 是 
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劫持 流量 。 尤 其 是 搜索 引擎 劫持 木马 和 淘宝 客 木马 ,已 经 越 来 越 成 为 主流 ,而 排名 第 二 的 后 
台 刷 广告 流量 木马 同时 也 是 第 一 季度 的 “木马 王 ”。 

这 些 木马 不 直接 给 用 户 造成 经 济 损失 ,用 户 不 易 察觉 ,同时 省 去 黑 产 链 后 期 洗钱 的 过 
程 ,收入 都 是 “广告 费 ”, 安 全 软件 不 易 拦 截 ,所 以 预计 将 成 为 今后 一 段 时 间 的 主流 木马 。 

4) 游戏 盗号 依然 猩 狐 

继 二 季度 上 榜 之 后 ,针对 DNF 游戏 (地 下 城 与 勇士 ) 的 盗号 木马 和 虚假 外 挂 再 次 登 上 
恶意 程序 拦截 量 的 TOP10 榜 单 ,侧面 上 说 明了 该 游戏 的 火爆 ,但 同时 玩家 也 需要 特别 注意 
账号 安全 。 

5) 比特 币 热潮 导致 “ 挖 矿 木马 ”活跃 

虽然 并 未 上 榜 , 但 由 于 比特 币 行情 大 热 ,导致 比特 币 “ 挖 矿 木马 ”家 族 正在 快速 膨胀 ,三 
季度 平均 每 月 新 增 比 特 币 “ 挖 矿 木马 ”变种 近 万 个 。 

此 类 木马 重点 攻击 配备 独立 显卡 的 电脑 ,普遍 具备 三 个 特征 : 

第 一 ,检测 中 招 电 脑 是 否 有 独立 显卡 ,优先 使 用 显卡 GPU* 挖 矿 ”, 如果 没有 则 使 用 
CPU* 挖 矿 ”; 第 二 ,检测 中 招 电脑 是 否 已 安装 了 比特 币 客 户 端 ,如 存在 比特 币 电子 钱包 密 钥 
文件 , 则 直接 窃取 并 发 送 到 黑客 服务 器 ; 第 三 ,木马 将 自身 设置 为 开机 启动 项 ,或 利用 流行 
软件 漏洞 加 载运 行 ,使 其 能 够 在 电脑 开机 联网 后 就 开始 “ 挖 矿 ”。 

at enw 系统 性 能 会 受到 较 大 影响 ,电脑 操作 会 明显 卡 慢 、 散 热 
风扇 狂 转 ; 男 一 个 危害 在 于 ,“ 挖 矿 木马 "会 大 量 耗 电 , 并 造成 显卡 .CPU 等 硬件 急剧 损耗 。 


4.3.2 木马 实例 一 一 冰河 

冰河 是 由 广东 省 黑白 网 络 工作 室 的 黄 蚀 编写 的 国产 远程 管理 软件 ,主要 由 G_Client. 
exe 和 G_Server. exe 两 个 文件 组 成 。G_Client. exe 是 监控 端 程序 ,可 以 用 于 监控 远程 计算 
机 和 配置 服务 器 ,对 应 的 G_Server. exe 就 是 服务 器 端 程序 。G_server. exe 可 以 任意 改名 ， 
而 且 运 行 时 无 任何 提示 ,直接 进入 内 存 , 并 将 被 控制 计算 机 的 7626 端口 开放 ,使 得 拥有 冰河 
客户 端 软件 G_Client. exe 的 计算 机 可 以 对 其 进行 远程 控制 。 

1. 客户 端 控制 程序 配置 

(1) 双击 运行 客户 端 控 制程 序 G_Client. exe, 界 面 如 图 4-30 所 示 。 


文件 [E] 。 编辑 [E] 。 设置 [8] 。 帮助 [四 


EELLD SIEEIEL 


当前 连接 : [Locaiitost 可 Wa:Fes Wns:| 应 用 [8] 
| 
起 的 电 启 | 文件 名 


由 图 Leean st 


共有 3 个 对 象 


4-30 冰河 界面 
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(2) 单 击 “ 文 件 ?| “配置 服务 器 程序 ?或 单 击 * 配 置 本 地 服务 器 程序 ?按钮 ,出 现 图 4-31。 


总 基本 设置 | 国 自我 保护 | 乌 邮件 通知 | 


半路 径 : | SISTEN7 |] 文件 名 称 : [R32 EXE 


进程 名 称 : indons 访问 口令 :| 


或 司 宇 符 ; 门 令 , 客 砚 , 连 接 , 登录, 账户, password connect, account, login, logon 


提示 信息 :| 
内 听 英 口 : 5 ”。。。 厂 自动 员 除 安装 文件 禁止 自动 扰 号 


特 配 置 文件 : [6_SERVER. EXE 二 确定 


图 4-31 服务 器 配置 


(3) 设置 “访问 口令 ”, 这 样 只 有 知道 口令 才能 实现 远程 控制 。 单 击 “ 邮 件 通知 ”选项 ,出 


现 图 4-32。 


服务 器 配置 
部 基本 设置 | 国 自我 保护 | 得 闻 御 通知 | 


如 果 不 需 要 发 送 动态 IP ， 请 将 编辑 框 清空 


SNTF 服 务 器 : 接收 信箱 : 


[部件 内 容 
克 系统 信息 厂 开机 口令 厂 缓存 口令 厂 共享 资源 信息 


竺 本 时 文件 : SEVEREE | [| 现 定 | 关闭 


图 4-32 邮件 设置 


(4) 输入 邮箱 地 址 ,可 以 通过 邮件 获取 被 控制 方 的 相关 信息 。 


2. 搜索 


安装 了 木马 服务 器 端的 计算 机 


(1) 执行 “文件 ”1 “自动 搜索 ”命令 ,弹出 如 图 4-33 所 示 的 窗口 。 


(2) 在 “ 


起 始 域 "后 的 编辑 框 里 输入 想 要 查找 的 IP 地 址 ,如 要 搜索 卫 地 址 为 127. 0. 0. 1 一 


127. 0.0.255 网 段 的 计算 机 ,应 将 “起 始 域 ” 设 为 127.0.0, 将 “起 始 地 址 ”和 “终止 地 址 ”分 别 


设 为 1 和 25 
(3) 单 寺 


5。 
“开始 搜索 ”按钮 ,在 搜索 结果 里 显示 检测 到 的 正在 网 上 的 计算 机 的 IP 地 址 ,地 


址 前 面 的 ERR: 表示 这 人 台 计 算 机 无 法 控制 ; 显示 OK: 则 表示 它 曾 经 运行 过 G_Server. exe, 可 
以 进行 控制 ,如 图 4-34 所 示 。 

(4) 单 击 “ 关 闭 ” 按 钮 ,返回 到 冰河 主 界面 ,如 图 4-35 所 示 。 与 未 搜索 前 的 冰河 界面 相 
比 ,在 “文件 管理 器 "下 增加 了 搜索 到 的 计算 机 。 


守 搜索 计算 机 


3 S32 


三 抽 EE 


图 4-33 ”搜索 计算 机 窗口 


| 冰河 72. 2 [DARKSUN 专 版 ] 
文件 [E] 。 编辑 [E] 。 设置 [9] 。 帮助 [加 


绝 虹 时 里 时 和 加 时 涛 名 
当前 连接 : [127 0.0.1 习 端口 : Fezs 1 - 
局 文件 关 理 器 | 吧 命 人 控制 台 | 


田 § EE 文件 大 小 宇 节 ) | 最 后 更 新 时 间 


由 而 Localitost 
127.0.0.1 


图 4-35 主 界面 发 生 了 变化 


3. 对 找到 的 计算 机 实现 远程 控制 

(1) 在 “文件 管理 器 ”中 可 以 对 远程 计算 机 中 的 文件 进行 各 种 操作 ,就 像 对 自己 的 计算 
机 中 的 文件 操作 一 样 方便 ,如 图 4-36 所 示 。 

(2) 单 击 “ 命 令 控制 台 ”, 在 如 图 4-37 所 示 的 “口令 类 命令 ”中 可 以 查看 系统 信息 、 各 种 
口令 ,按键 记录 等 。 

(3) 在 如 图 4-38 所 示 的 “控制 类 命令 ”中 ,可 以 对 被 控制 方 计算 机 进行 “查看 屏幕 "、“ 屏 
幕 控制 “远程 关机 ”“ 和 鼠标 锁定 ”等 操作 。 

(4) 在 “网 络 类 命令 ”中 可 以 进行 创建 共享 等 操作 ; 在 “文件 类 ”命令 中 可 以 对 目录 、 文 
件 进行 各 种 操作 ; 在 “注册 表 读 写 ”" 中 可 以 对 注册 表 键 值 进行 读 写 等 操作 ; 在 “设置 类 命令 ” 
中 可 以 进行 更 改 计算 机 名 等 操作 。 
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DARKSUN 考 版 加] 
文 首 四 编辑 [E] 。 设置 [9 。 帮助 器 


最 克昌 里 轩 年 画 国 省 名 


当前 连接 : |127.0.0.1 请 口 : |7628 访问 口令 : 应 用 [S] 
包 文件 管理 器 | 吧 命 人 控制 台 | 
可- 乃 我 的 电脑 文件 名 称 I 文件 大 小 字 节 ) | 最 后 更 新 时 间 固 | 
由 LocalHost 
127.0.0.1 四 | 
[ld 国 1 复制 CtrlC 
由 加 | mi 上 E| 
由 加 下 自 | | 
CtrltD 
自 ! | 
鳃 1 Ctrl+F 
自 ! ctrl 
血 ! Ctrlty 
国 ! 
外 ! 
入] 
徊 1 
1 Ctrl+R 图 


图 4-36 对 远程 计算 机 中 的 文件 进行 各 种 操作 


;冰河 Y2- 2 [DARKSUN 专 版 ] 
文件 [E] ”编辑 [E] ”设置 [G6] ”帮助 [HN] 


罗网 昂 里 曙 和 加 时 涛 名 e 


| i 700 习 访 口 : fez65 让 部: 应 用 [S] 
局 文件 管理 器 _ 氏 命 人 控制 台 | 


卫 [ 丈 理 要 天 型- Fentim 
Vindors NT 
. i C: WINDORS\ 
C \WINDORS\syst en32\ 
CE.: MDOCUME™1 VXIMTNT “I NLDCALS™1\Tenp\ 
JEIN-4ATFOCS380 


mn 
Er 


@ 历史 口令 
@ 按键 记录 
由 站 控制 类 命令 
由 站 巾 络 类 命令 
由 由 文件 类 命令 
由 由 注册 表 读 写 
四 全 设置 类 命令 


Administrator 
286MN 


出 
ED] 


2104N 
800 


网 网 审 补 0 TobbS 淹 5 


600 


3356. 78662109375M 
393.836592529297 


开机 口 人 绥 存 口令 其 它 口令 


涩 大 流 接收 充 毕 


4-37 口令 类 命令 


4. 冰河 的 清除 
冰河 的 G_Server. exe 服务 端 程序 在 计算 机 上 运行 后 ,会 在 Windows\system32 目录 下 
生成 Kernel32. exe 和 Sysexplr. exe 两 个 文件 ,并 将 自身 删除 ,这 样 木马 实际 上 就 变 成 了 
Kernel32. exe 和 Sysexplr. exe。 Kernel32. exe 在 开机 时 自动 启动 , 它 是 木马 的 主 程序 ,用 来 
和 客户 端 连接 ; Sysexplr. exe 通过 修改 注册 表 与 扩展 名 为 txt 的 文件 进行 关联 ,双击 打开 任 
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DARKSU 
文件 [E] 。 己 往 [站 。 设置 [Q] 帮助 吕 


可 于 时 里 时 和 本 加 基色 
| 当前 连接 : en 避 请 D: Fez 访问 口令 : 应 用 [S] 
同文 件 管理 器 昌 命 令 控 制 台 | 

避风 口 信 类 命令 
日 各 sh 人 


@ Ea 
人 @ 发 产 信息 


由 3 让 和 
由 站 设 置 类 命令 


捕获 区 域 : 庄 屏 二 ] 。 色 深 0--n): 忆 | 
传 者 格 式 : ae 了 | 。 品质 0-100) : 四 上 屏 表 控制 | 


共有 3 个 对 象 


图 4-38 控制 类 命令 


何 一 个 TXT 文件 后 ,该 程序 就 会 被 执行 一 遍 ,再 由 它 生 成 一 个 Kernel32. exe 文件 ,并 让 其 
随 系统 启动 。 如 果 只 删除 了 Kernel32. exe 而 没有 删除 Sysexplr. exe, 就 相当 于 什么 也 没 
做 ,因为 Sysexplr. exe 会 借助 文件 关联 重新 生成 主 程序 。 

要 想 删 除 冰河 ,必须 将 Kernel32. exe 和 Sysexplr. exe 都 删除 才 行 ,具体 步骤 如 下 : 

(1) 按 下 Ctrl 十 Alt 十 Delete 键 ,打开 “任务 管理 器 ”, 单 击 “ 进 程 "选项 ,找到 Kernel32. 
exe 和 Sysexplr. exe 的 进程 , 单 击 “ 结 束 进程 "按钮 ,使 它们 退出 内 存 。 

(2) 到 Windows\system32 目录 下 找到 Kernel32. exe 和 Sysexplr. exe 两 个 文件 ,将 它 
们 删除 。 

(3) 修改 被 冰河 修改 过 的 注册 表 : 单 击 “ 开 
始 ”"1“ 运 行 ”, 在 运行 文本 框 中 输入 regedit, 单 击 
“确定 "按钮, 出现“ 注册 表 编 辑 器 "对话 框 ,打开 
HKEY _ LOCAL _ MACHINE \ SOFTWARE\ 
Microsoft\ Windows\CurrentVersion\Run, 双击“ 默 
认 ” 字 符 串 ,出 现 如 图 4-39 所 示 的 对 话 框 。 将 其 数 
据 内 容 C:\WINDOWS\system32\KERNEL32. exe 
删除 。 

(4) 用 同样 方法 处 理 注 册 表 的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ 
Windows\CurrentVersion\Runservices 项 ,这样 就 取消 了 Kernel32. exe 的 开机 启动 。 

(5) 打开 注册 表 的 HKEY_CLASSES_ROOT\txtfile\shell\open\command 项 ,双击 
“默认 ”字符 串 ,在 “数值 数据 ”文本 框 中 输入 C:\WINDOWS\system32\notepad. exe %1, 单 
击 “ 确 定 ” 按 钮 ,这 样 就 恢复 了 TXT 文件 与 记事 本 的 关联 ,Sysexplr. exe 再 也 不 起 作用 了 。 

对 于 冰河 1. 2 正式 版 以 后 的 各 版 本 都 在 客户 端 提供 了 彻底 的 印 载 功能 ,具体 方法 是 : 


编辑 字符 囊 


图 4-39 “编辑 字符 串 ” 对 话 框 
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执行 “命令 控制 台 ”|* 控 制 类 命令 ?|* 系 统 控制 ?|* 自 动 印 载 冰 河 ”, 出 现 如 图 4-40 所 示 的 对 
话 框 , 单 击 “ 是 ” 即 可 。 

5. 冰河 的 反 入 伪 

木马 的 反 入 侵 是 指 在 已 知 黑客 利用 木马 入 侵 , 通 过 布下 反 控制 措施 ,让 黑客 暴露 出 真实 
身份 。 针 对 冰河 的 反 入 侵 方法 是 : 使 用 冰河 作者 黄 奢 提供 的 .可 以 伪装 成 冰河 被 控 端 的 * 冰 
河 陷阱 ”来 反 控制 “控制 者 ”, 具 体 步 又 如 下 : 

(1) 运行 “冰河 陷阱 . exe” 文 件 , 自 动 检 测 系 统 是 否 已 经 被 安装 了 “冰河 ”被 控 端 程序 ,如 
果 是 , 则 出 现 图 4-41, 提 示 用 户 自动 清除 。 


ba 


2 各 本 时 


» 您 确定 要 格 远程 计算 机 上 的 冰河 彻底 清除 吗 ? 


ET vw 否 _ 


图 4-40 ”自动 印 载 冰河 图 4-41 自动 监测 冰河 


(2) 单 击 “ 是 ”,“ 冰 河 陷阱 ”向 用 户 显示 已 经 被 安装 的 “冰河 ”配置 信息 ,如 图 4-42 所 示 。 
(3) 单 击 “ 确 定 ”, 清 除 所 有 版 本 的 “冰河 ”被 控 端 程序 ,并 提示 清除 日 志保 存在 当前 目录 
的 “清除 日 志 . txt” 文 件 中 ,如 图 4-43 所 示 。 


5 C:\WINDOYS\system32 

: Kernel32, exe 
:默认 此 听 丝 品 

: 口令 ,密码 ,连接 登录 ,账户 


assword, connect, account, 1ogin, 10gom 
表 刍 名 


: TxtFile 
关联 文件 名 :Sysexplr exe 


半生 里 


: 默认 配置 


图 4-42 显示 配置 信息 图 4-43 显示 配置 信息 


(4) 单 击 “ 确 定 ”, 出 现 如 图 4-44 所 示 的 运行 主 界面 (如 果 在 运行 “冰河 陷阱 . exe” 文 件 
时 ,系统 中 没有 冰河 , 则 直接 出 现 主 界面 )。 


品 “冰河 “ 陷 讲 v1. 2 

文件 中 设置 帮助 忆 ) 

| 时 | 咏 回 站 中 | 

TT 地 址 | 和 登 录 冤 码 ] 拘 作 命令 [ 语 $ 参 数 | 所 在 地 


正在 巾 听 端口 : 7626 


4-44 “冰河 陷阱 "运行 主 界面 
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此 时 ,“ 冰 河 陷阱 ”会 完全 模拟 真正 的 “冰河 ”被 控 端 程序 对 监控 端的 命令 进行 响应 ,使 监 
控 端 产生 仍 在 正常 监控 的 错觉 ,同时 完全 记录 监控 端的 卫 地 址 、 命 令 、 命 令 参数 等 相关 信 
息 。 在 入 侵 者 尚未 退出 “冰河 ”监控 端 程序 之 前 ,还 可 以 通过 “冰河 信使 "功能 与 人 侵 者 对 话 。 
并 可 以 将 所 有 由 远程 监控 端 上 传 的 文件 ,保存 在 UPLOAD 目录 下 供用 户 分 析 。 


4.3.3 木马 的 检测 


随 着 科学 技术 的 发 展 , 木 马 也 变 得 越 来 越 狭 独 , 很 多 木马 已 经 可 以 借助 邮件 、 网 页 ` 局 域 
网 、 磁 盘 等 多 种 方式 进行 传播 ,一些 木马 甚至 能 够 阻止 反 病毒 软件 对 它 的 检测 。 

如 何 检测 一 个 系统 中 是 否 有 木马 程序 呢 ? 木马 的 本 质 是 程序 ,必须 运行 起 来 后 才能 工 
作 , 所 以 必定 会 在 系统 中 留 下 一 些 蛛丝马迹 。 下 面 针 对 一 些 常用 木马 所 惯用 的 伎俩 来 找 出 
躲 在 系统 中 的 木马 。 

1. 检查 是 否 存在 陌生 进程 

因为 木马 的 运行 会 生成 系统 进程 ,虽然 也 有 一 些 技术 可 以 使 木马 进程 不 显示 在 进程 管 
理 器 中 ,但 大 多 数 木马 在 运行 时 都 会 在 系统 中 生成 进程 。 

进程 检查 可 以 通过 按 下 Ctrl 十 Alt 十 Delete 键 ,在 出 现 的 任务 管理 器 中 实现 。 也 可 以 通 
过 “开始 ”1“ 程 序 ”1“ 附 件 ”1“ 系 统 工具 ”|* 系 统 信息 ”1“ 软 件 环 境 ”|“ 正 在 运行 的 任务 ”中 详细 
检查 当前 正在 运行 的 进程 ,如 图 4-45 所 示 。 表 4-4 列举 了 最 基本 的 系统 进程 ,它们 是 系统 
运行 的 基本 条 件 , 其 他 附加 的 系统 进程 ,可 以 根据 需要 增加 或 减少 。 


@ 系统 信息 


名 称 路 径 

realsched. exe ci\progran files\common file 

services, exe ci Mwindows\systen32\services, 

snss. exe ci Mwindows\systen32\snss, exe 

spoolsy. exe ci Mwindows\systen32\spoolsy. exe 

svehost. exe ci Mwindows\systen32\svehost. exe 
不 可 用 


ci\windows\systen32\svehost. exe 
不 可 用 


不 可 用 
e:\herosoft\herovO\sysexplr. exe 
不 可 用 


System idle pro 不 可 用 

tea exe a:\progran files\the cleaner. 

tom. exe iprogran files\the cleaner. 

0LE 注册 winlogon exe c:\windows\system32\winlogon 
Yindows 错误 报关 Winword exe i \progran files\nicrosoft 9 

由 Internet 设置 wisptis. exe ci\windows\systen32\wisptis. exe 168 
由 0ffice 2003 应 用 程序 wniprvse, exe 六 

wsentfy. exe ci Mwindows\systen32\wsentfy exe 


查找 什么 oO: 「 
口 只 搜索 所 选 的 类 别 GE) 


图 4-45 在 系统 信息 中 检查 进程 
表 4-4 最 基本 的 系统 进程 


进程 名 功能 作用 
csrss. exe 管理 Windows 图 形 相 关 任 务 
explorer. exe 管理 Windows 图 形 壳 ,包括 开始 菜单 、 任 务 栏 . 桌 面 和 文件 管理 
lsass. exe 控制 Windows 安全 机 制 
services. exe 管理 启动 和 停止 服务 


smss. exe 会 话 管理 服务 
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续 表 
进程 名 功能 作用 
spoolsv. exe 打印 管理 
svchost. exe 加 载 并 执行 系统 服务 指定 的 DLL 文件 。 根 据 启动 的 服务 多 少 , 该 进程 数量 
也 会 不 同 ,一般 在 4 一 5 个 
winlogon. exe Windows 登录 管理 器 ,用 于 处 理 系统 的 登录 和 登录 过 程 
2. 检查 注册 表 


虽然 有 少数 木马 与 特定 的 文件 捆绑 ,在 运行 被 捆绑 的 文件 时 运行 ,但 大 部 分 木马 都 把 自 
己 登记 在 开机 启动 的 程序 中 ,这 样 就 可 以 通过 注册 表 进 行 检查 。 
执行 “开始 ”|“ 运 行 ”, 在 弹出 的 对 话 框 中 输入 regedit, 打 开 注 册 表 编辑 器 ,检查 注册 表 
启动 项 ,如 图 4-46 所 示 。 


从 注册 表 编 辑 器 
文件 FE) 编辑 下 ) 查看 WV 收藏 丈 避 ) 帮助 00 
四 国 -Dos Enulation 因 || 名 称 类 型 数据 
田园 ms 园 败 W) REG_SZ (数值 未 设置 ) 
园 optinalLeyout 图 cyaoorupaate REG_SZ RunDl132 C: \WINDOWS\ 
四 国 ?policies 
四 园 Reinstall 
国 Reliability 


园 hanservices 
四 国 set 

园 Sharednlls 
国 - 园 Shell Extensions 
轩 园 ShellConpatibility 
轩 园 Sheallscrep 习 

园 ShallService0bject 
四 国 SideByside 

SNDEn 


图 4-46 检查 注册 表 


(1) 检查 HKEY _ LOCAL _ MACHINE \ Software \ Microsoft \ Windows \ 
C ee 下 的 Run、 One RunOnceEx、RunServices 等 启动 项 中 是 否 有 可 疑 的 程 

序 。 由 于 反 病 毒 软件 在 默认 情况 下 并 不 扫描 回收 站 ,有 些 木马 就 将 其 挂 在 回收 站 中 
0 目录 ) ,如 果 发 现 注册 表 启 动 程序 指向 回收 站 目录 ,就 要 对 此 怀疑 。 

(2) 检查 HKEY_CLASSES_ROOT\exefile\shell\open\command 项 是 否 有 EXE 文件 
关联 型 木马 程序 ,正确 的 键 值 应 该 是 :"%1”% x 。 如 果 看 到 键 中 包含 任何 默认 以 外 的 东 
西 就 要 将 其 改 回 默认 值 。 例 如 当 其 值 为 files32. vxd"%1"”% x* 时 ,表示 任何 EXE 文件 运 
行 时 ,放置 在 fles32. vxd 中 的 代码 也 随 之 自动 运行 。 

(3) 检查 HKEY_CLASSES_ROOT\inffile\shell\open\command 项 是 否 有 inf 文件 关 
联 型 木马 程序 ,正确 的 键 值 应 该 是 : Windows\System32\NOTEPAD. EXE %1。 

(4) 检查 HKEY_CLASSES_ROOT\inifile\shell\open\command 项 是 否 有 ini 文件 关 
联 型 木马 程序 ,正确 的 键 值 应 该 是 : Windows\System32\NOTEPAD. EXE %1。 

(5) 检查 HKEY_CLASSES_ROOT\txtfile\shell\open\command 项 是 否 有 txt 文件 关 
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联 型 木马 程序 ,正确 的 键 值 应 该 是 : Windows\system32\NOTEPAD. EXE %1。 

3. 检查 开放 的 端口 

在 网 络 技术 中 ,端口 有 两 种 意思 : 一 是 物理 意义 上 的 端口 ,如 ADSL Modem 集线器、 
交换 机 、 路 由 器 等 用 于 连接 其 他 网 络 设 备 的 接口 (RJ-45 端口 .SC 端口 等 ); 二 是 逻辑 意义 上 
的 端口 ,一 般 是 指 TCP/IP 协议 中 的 端口 ,端口 号 的 范围 是 0 一 65 535。 这 里 指 逻辑 意义 上 
的 端口 。 

逻辑 意义 上 的 端口 有 多 种 分 类 标准 , 按 端口 号 分 布 分 为 知名 端口 (范围 是 0 一 1023 ,如 
FTP 的 21 端口 ,SMTP 的 25 端口 ,HTTP 的 80 端口 ) 和 动态 端口 (范围 是 1024 一 65 535， 
这 些 端口 号 一 般 不 固定 分 配给 某 个 服务 ,只 要 应 用 程序 向 系统 提出 访问 网 络 的 申请 ,系统 就 
可 以 从 这 些 端口 号 中 分 配 一 个 给 该 程序 使 用 ) 。 动 态 端口 也 常常 被 病毒 .木马 程序 所 利用 ， 
如 冰河 默认 连接 端口 是 7626、WAY 2.4 是 8011、Netspy 3.0 是 7306.YAI 病毒 是 1024 等 。 

- 般 的 木马 都 会 在 系统 中 监听 某 个 端口 ,因此 可 以 通过 查看 系统 上 开启 的 端口 来 判断 

是 否 有 木马 在 运行 ,查看 方法 如 下 。 

执行 “开始 ”1“ 运 行 ”, 在 弹出 的 对 话 框 中 输入 cmd, 在 打开 的 窗口 中 输入 命令 : netstat 
an( 命 令 的 开关 符 含义 如 表 4-5 所 示 ) ,可 以 查看 系统 当前 已 经 建立 的 连接 和 正在 监听 的 端 
口 , 同 时 可 以 查看 正在 连接 的 远程 主机 的 IP 地 址 ,如 图 4-47 所 示 。 

表 4-5 netstat 命令 开关 符 含义 


开关 符 含 党 
-a 显示 所 有 活动 的 TCP 连接 以 及 计算 机 监听 的 TCP 和 UDP 端口 
-e 显示 以 太 网 发 送 和 接收 的 字 节 数 、 数 据 包 数 等 
-n 只 以 数字 形式 显示 所 有 活动 的 TCP 连接 的 地 址 和 端口 号 
-0 显示 活动 的 TCP 连接 并 包括 每 个 连接 的 进程 ID(PID) 
-S 按 协议 显示 各 种 连接 的 统计 信息 ,包括 端口 号 


VS\systen32\cnd. exe 


LISTENING 
LISTENING 
LISTENING 


-8:4580 
123 


图 4-47 检查 端口 
Local Address 栏 对 应 的 是 本 机 的 IP 地 址 和 开放 的 端口 ,如 果 端 口号 与 常见 木马 的 端 
口号 相同 ,说 明 本 机 藏 有 该 种 木马 。 
表 4-6 给 出 了 部 分 常用 木马 和 它们 所 用 端口 的 对 应 表 , 低 端口 常用 来 窃取 口令 并 传送 


180 信息 对 抗 与 网 络 安全 (第 3 版 ) 


给 黑客 ,高 端口 常用 来 通过 网 络 远程 控制 木马 程序 。 
表 4-6 部 分 常见 木马 使 用 的 端口 号 


端口 号 木马 名 称 端口 号 木马 名 称 
666 Satanz backdoor 1001 Silencer 
1011 Doly Trojan 1170 Psyber Stream Server 
1234 Ultors Trojan 1245 VooDoo Doll 
1492 FTP99CMP 1600 Shivka 
1807 SpySender 1981 Shockrave 
1999 BackDoor 2001 Trojan Cow 
2023 Ripper 2115 Bugs 
2140 Deep Throat The Invasor 2801 Phineas 
3700 Portal of Doom 4092 WinCrash 
4590 IcqTrojan 5000 Sockets de Troie 
5001 Sockets de Troie 1. x 5321 Firehotcker 
5400 Blade Runner 5401 Blade Runner 1. x 
5402 Blade Runner 2. x 5569 Robo Hack 
5742 WinCrash 6670 DeepThroat 
6771 DeepThroat 6969 GateCrasher Priority 
7000 Remote Grab 7300 Netspy 
7301 Netspy 1. x 7306 Netspy 2. x 
7307 Netspy 3. x 7308 Netspy 4. x 
7789 ICQKiller 9872 了 Portal of Doom 
9873 Portal of Doom 1. x 9874 Portal of Doom 2. x 
9875 Portal of Doom 3. x 9989 iNi- Killer 
10067 Portal of Doom 4. x 10167 Portal of Doom 5. x 
11000 Senna Spy 11223 Progenic trojan 
12223 Hack'99 KeyLogger 12346 NetBus 1.x 
12361 Whack-a-Mole 12362 Whack-a-Mole 1.x 
16969 Priority 20001 Millennium 
20034 NetBus Pro 21544 GirlFriend 
22222 Prosiak 23456 Evil FTP 
26274 Delta 31337 Back Orifice 
31338 DeepBO 33333 Prosiak 
40412 The Spy 40421 Masters Paradise 
40422 Masters Paradise 1. x 40423 Masters Paradise 2. x 
40426 Masters Paradise 3. x 50505 Sockets de Troie 
50766 Fore 53001 Remote Windows Shutdown 
61466 Telecommando 65000 Devil 


默认 情况 下 ,有 很 多 不 安全 的 或 没有 什么 用 的 端口 是 开启 的 ,如 FTP 服务 的 21 端口 、 
Telnet 服务 的 23 端口 SMTP 服务 的 25 端口 、RPC 服务 的 135 端口 等 。 为 了 保证 系统 的 
安全 性 ,可 以 通过 下 面 的 方法 关闭 端口 。 

(1) 执行 “控制 面板 ?|* 管 理工 具 ”|* 服 务 ”, 在 如 图 4-48 所 示 的 “服务 ”窗口 中 找到 相关 
服务 ,如 DHCP。 
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| 文件 四 操作 他 查看 中。 帮助 中 


上 > 回 曙 国民 国 ，m 1 相 


ET 

DHCP Client EE IE = | 状态 “| 局 动 类 型 | 开 录 为 | _ 友 

区 katetie pantes 多 放下 载 开 安装 ndors 更 新 。 加 果 此 服务 认 树 用， 计 。。 己 后 动 ” 目 动 本 地 系统 

hvire AntiVir 6... Offers pamaneat protection sgsiast virases andm 手动 本 地 系统 

局 动 此 服务 hvira AntiVir 5... Service to schedule Avira jntiyir Personal - Free 手动 本 地 系统 

Decker omd Inte -， 在 后 台 传输 才 户 靖 和 服务 加之 间 的 数据 。 如 果林 用 了 于 手动 本 地 系统 

扫 寺 Sclipook 局 用 “入 由 管 坦 看 器 ” 主 存 信息 并 与 运程 计算 机 共享 已 禁用 本 地 系统 

通过 注册 和 更 下 IP 地 址 以 及 DRS 名 “和 葡 co+ Event System 支持 系统 事件 通知 眼 务 GEIS) ,此 服务 为 订阅 蛆 件 对 象 ，。 已 启动 手动 本 地 系统 

称 帮 首 理 网 澡 卫 置 . 允 Cos Systen App .， 首 理 基于 COW+ 姐 人 的 配置 和 眼 踪 。 各 果 妥 务 售 止 ,大 手动 本 地 系统 
劲 conpater Brovser 。 挫 护 问 络 上 计算 机 的 更 新 列 豆 ， 并 将 列表 提供 结 计算 机 自动 本 地 素 梳 。 国 

区 crmteersphie 5 。， 提供 三 种 管理 服务 ， 沉 录 鸡 据 库 服 务 ， 它 确定 Yindevs 。 。 已 据 动 ”自动 本 地 系统 

才 DCO Server Pre 为 00 服务 提供 加 要 功能 , 已 B 动 自动 本 地 系统 

Distributsd Lin .在 计算 机 内 TTS 文件 之 同 保持 链接 或 在 网 络 城中 的 二 本 地 系统 

Distributod Tre ， 苏 有 多 个 数 气 库 、 测 息 队列 、 文 件 系统 等 颠 源 各 理 器 手动 网 络 服务 

I Dimt 为 此 汗 算 机 解析 和 猴 冲 域名 系统 Ts) 名称。 各 果 此 服 “已 启动。 自动 网 络 服务 
钨 Error Hepertine .， 累 务 和 让 用 程序 在 帮 标 准 环 境 下 运行 时 允许 模 误 报告 。 已 共用 本 地 系统 

地 Trent La 局 用 在 事件 查看 哮 查 看 基于 Yindor 的 程序 和 组 件 熏 发。 已 局 动 ”自动 本 地 系统 

网 Tast User Srite .为 在 多 用 户 下 需要 协 勋 的 应 用 程序 提供 管理 , 已 B 动 手动 本 地 系统 

纺 lp wnd Support 。 司 用 在 此 计算 机 上 运行 帮助 和 支持 中 心 。 如 果 停止 服务 。 。 已 局 动手 动 本 地 系统 

哆 ID Input Service 尼 用 对 入 能 界面 设备 00D) 的 通用 第 入 访问 ， 它 流 活 并 .已 局 动 ”自动 本 地 系统 

Tr ssL 夫子 务 通过 安全 套 控 字 是 (SSL) 实 现 TTP 服务 的 安全 超 手动 本 地 系统 

TIMET Ch-Burnin .. 有 Iaage Nasterine Applications Progr ennine Inter 手动 本 地 系统 

哆 Tnderine Service 。 本 地 和 运程 计算 机 上 文件 的 索引 内 容 和 屎 性 ; 通过 灵活 手动 本 地 系统 

IPSIC Serviee 。。 管理 IP 安全 第 路 以 及 启动 TSAIP/0sdey 0IE) 和 工 。 已 启动 自动 本 地 系统 

雹 Lcical Disk H。 。 区 出 和 鉴 视 条 硬 笃 动 器 并 向 各 条 管理 吕 答 理 服务 。 。 已 启动 自动 本 地 系统 

才 Locicnl Disk I、. ， 配 置 鲁 和 四 动 峰 和 稚 。 此 服务 只 为 配置 外 理 运行 ， 热 后 手动 本 地 系统 

eeneer 传输 客户 消 和 服务 器 之 问 的 JET SED 和 和 erter 服务 已 禁用 本 地 系统 

多 msoftvare She .管理 苞 影 复制 服 务 拍 天 的 软件 着 影 复 割 。 如 果 这 服务 被 手动 本 地 系统 

et Lem 支持 网 络 上 计算 机 pess-trouth 帐户 号 录 身 份 验 证 事件 手动 本 地 系统 

雹 eloetine Roeo .使 授 权 用 户 能 名 通过 使 用 Youlooting 路 企业 intr net 手动 本 地 系统 

作 etrork Comnect .， 管理 "网络 和 扯 号 连接 ”文件 严 中 对 象 ， 在 其 中 修 林 以 ，。 已 局 动 手动 本 地 系统 

etrork nmE 为 在 同一 台 计 算 机 歌 不 网 计算 机 上 运行 的 程序 提供 动态 已 药 用 本 地 系统 

雹 Hetvork 0DE 1508 。 管理 动态 区 和 交 的“0DE) 网 培 共享 。 加 果 此 服务 终止 ， 已 共用 。 本 地 系统 
驹 Wetverk Locstio。. ， 收 集 冻 存 隐 络 配 置 和 位 置 全息， 并 在 生息 改动 时 通知 ”已 启 动 手动 本地 系统 一 


玉民 A 下 


图 4-48 ”服务 窗口 


(2) 双击 该 服务 ,出现 如 图 4-49 所 示 的 属性 对 话 框 。 
(3) 单 击 “停止 "按钮 ,停止 该 服务 。 在 “启动 类 型 "下 拉 列 表 框 中 选择 “已 禁用 ”, 如 图 4-50 
所 示 。 


DHCP Client 的 属性 (本 地 计算 机 ) 

[ 宙 栅 “| 王 录 [包揽 | 依存 关系 | 
服务 名 称 Dhep 
ss: THEW 
指 述 四 | 卫 时 注册 和 更 收 玛 下 以 及 TS 名 称 来 共 理 要 


可 执行 文件 的 路 径 中 
EVWINDONS\systen32\svehost. exe -k netsves 


DHCP Client 的 属性 (本 地 计算 机 ) 
寅 坑 。[ 蛋 录 恢复 依存 关系 ] 
服务 名 称 Dhep 


显示 名 称 四) | Client 
描述 虽 二 时 注册 和 更 疏 二 天王 以 及 TIS 名 称 来 各 理 要 


可 执行 文件 的 路 径 0D 
Er VINDOYS\systen32\svehost. exe ~k netsves 


启动 类 型 到 ) 自动 启动 类 型 EE) 


服务 状态 已 启动 
停止 ID) 
当 从 此 处 启动 服务 时 ， 您 可 指定 所 适用 的 启动 参数 。 


服务 状态 


局 动 全 ) 


当 从 此 处 启动 服务 时 ， 您 可 指定 所 适用 的 启动 参数 。 


启动 参数 四) 


图 4-50 更 改 启动 类 型 
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(4) 单 击 “确定 ?按钮 。 这 样 ,关闭 了 DHCP 服务 就 相当 于 关闭 了 对 应 的 端口 。 
表 4-7 是 部 分 常 端口 的 作用 、 漏 洞 和 操作 建议 。 


表 4-7 部 分 端口 的 作用 ,漏洞 和 操作 建议 


端口 号 作用 漏洞 建议 
21 | FTP 服 务 通过 匿名 登录 被 黑客 利用 和 全 入 
a pe 存在 提升 权限 、 拒 绝 服务 等 严重 | 建议 关闭 
漏洞 

、 如 果 不 架设 SMTP 邮件 服务 
25 SMTP 服务 被 黑客 利用 转发 垃圾 邮件 识 ; 建 议 关 闭 
53 DNS 服务 最 易 遭 黑客 攻击 eg 

议 关闭 

79 Finger 服务 被 扫描 探测 相关 信息 建议 关闭 
80 HTTP 为 了 能 正常 上 网 ,必须 开启 
110 POP3 服务 被 窃取 POP 账号 用 户 名 和 密码 hide 


打开 


113 验证 服务 被 基于 IRC 等 木马 程序 所 利用 
. 如 经 常 使 用 USENET 新 闻 组 ， 

119 网 络 新 闻 组 Happy99 蠕虫 病毒 默认 端口 不 定期 关闭 该 端口 
135 远程 过 程 调 用 “冲击 波 ” 病 毒 建议 关闭 
139 文件 和 打印 机 共享 ”| 被 扫描 探测 相关 信息 如 果 不 提供 共享 ,建议 关闭 

及 时 安装 微软 针对 SSL 漏洞 
443 HTTPS SSL 漏洞 的 最 新 安全 补丁 
445 
554 RTSP Real 流 媒 体 

除 使 用 WinGate 共享 上 网 外 ， 
1080 Socks 代理 服务 蠕虫 病毒 建议 关闭 
1433 
1755 | MMS 微软 流 媒 体 
3389 
5554 震荡 波 病 毒 建议 关闭 


4. 使 用 冰 刃 进行 检查 


冰 丸 是 专 为 检查 系统 中 的 幕后 黑手 一 一 木马 和 后 门 而 设计 的 , 它 使 用 了 大 量 新 颖 的 内 
核 技术 ,可 以 查看 进程 端口 \ 内 核 信息 启动 组 服务 .注册 表 和 任何 隐藏 的 文件 等 ,使 内 核 


级 的 后 门 无 法 躲藏 。 


运行 时 ,其 标题 栏 显 示 的 是 一 串 随机 字符 串 ,而 不 是 通常 所 见 的 软件 程序 名 ,如 图 4-51 
所 示 。 这 样 , 很 多 通过 标题 栏 来 关闭 程序 的 木马 和 后 门 在 它 面前 都 无 功 而 返 了 ,一 些 木马 或 
后 门 就 算 通 过 鼠标 或 键盘 钩子 控制 窗口 退出 按钮 :也 不 能 结束 IceSword 的 运行 。 


第 4 章 计算 机 网 络 安全 技术 183 


nuaqjeC8DBAE -| 


文件 转 诗 插件 外 观 才 助 
i 一 X 和 民团 
功能 IceSword 


图 4-51 随机 出 现 的 标题 栏 字符 串 


单 击 “进程 ?按钮 ,在 右 侧 列 出 的 进程 中 ,隐藏 的 进程 会 以 红颜 色 醒 目地 标记 出 ,以 方便 
查找 隐藏 自身 的 系统 级 后 门 ,并 可 以 使 用 右键 菜单 的 “结束 进程 ?将 它们 结束 。 

单 击 “端口 ?按钮 ,显示 进程 端口 关联 。 它 的 前 4 项 与 netstat -an 类 似 , 后 两 项 是 打开 该 
端口 的 进程 ,如 图 4-52 所 示 。 


[ET [sl 
文件 转 储 插件 外 观 帮助 


一 XX 外! 避 园 
2 
EO) 协议 “| 本 地 地 址 | 运程 地 址 | 状态 | 进程 ID | 进程 程序 名 称 
ICP 0.0.0.0:80 0.000:0 LISTENTNG 3992 CMWTNDOWS\systen32\inetsrv\ine 
进程 zTCP 0.0.0.0 : 445 0000:0 LISTENTNG 4 MW 0S Kernel 
x zTCP 0.0.0.0 : 135 0.0.00;:0 LISTENTNG 1652 C:\WINDOWS\systen32\svehost, exe 
息 ?TCP 0.0.0.0 : 2869 0.0.0.0:0 LISTENING 1944 CC: \WINDOWS\systen32\svehost. exe 
ZTCP 192.168.1.100 : 139 0.0.00:0 LISTENTNG 4 HT 0S Kernel 
iD TP 0.0.0.0 : 443 0.0.00:0 LISTENTNG 3992 CC:\WINDOWS\system32\inetsrv\ine 
zTCP 0.0.0.0:25 0.0.0.0 :0 LISTENING 3992 CC:\WINDOWS\system32\inetsrv\ine 
昌 TCP 0.0.0.0 : 1037 0.000:0 LISTENTNG 3992 C:\WINDOWS\systend2\inetsrv\ine 
内 核 模块 ?WP 127.0.0.1 : 3971 二 668 C:\Progran Filesv360safe\360sey 
SP 。 192.168.1.100 : 53 LE 1692 CC: \WINDOWS\systend2\svehost, exe 
?WP 0.0.0.0 : 1031 LE 1892 C:\WTNDOWS\systen32\svehost. exe 
全 zupP 127.0.0.1 : 3479 i 1292 C:\Program Files\360\360Safe\se 
启动 组 PUDP 192.168.1.100 : 1900 :和 #* 1944 CC:\WINDOWS\systen32\svehost. exe 
zUDP 0.0.0.0 : 3458 本 3992 C:\WINDOWS\system32\inetsrv\ine 
区 TWP 192. 188.1.100 : 137 本 4 WT 0S Karnel 
PW 127.0.0.1 : 1900 站 1944 C:\WINDOWS\systen32\svehost, exe 
服务 zUDP 127.0.0.1 : 3837 本 -二 3192 C:\Program Files\Microsoft Offi 
?WP 127.0.0.1 : 1032 本 1692 C-VWTNDOWS\systen32Vsvchost exe 
1 ?WP 0.0.0.0: 445 4 NW O05 Kernel 
‘Sr DP 192.168.1.100 : 138 让 直入 4 HOS Kernel 
EM 一 一 一 4 NW 0S Kernel 
到 


图 4-52 进程 端口 关联 
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单 击 “ 服 务 ” 按 钮 ,也 能 看 到 用 红颜 色 标 记 的 隐藏 的 


木马 服务 。 a -二 
5. 监控 注册 表 的 变化 ra 
木马 服务 器 端的 首次 运行 都 会 改变 系统 的 注册 表 ， || 四 |。 允 


使 用 RegShot 可 以 监控 注册 表 的 变化 ,从 而 及 时 发 现 | Sige: 
未 马 。 rvsener vena | 
(1) 运行 RegShot, 出 现 如 图 4-53 所 示 的 运行 界 | [RE 吉本 
面 。 单 击 “快照 一 ”按钮 ,执行 “扫描 并 保存 ”命令 ,对 注 
册 表 进行 一 次 全 面 的 扫描 。 
(2) 扫描 结束 后 ,出 现 图 4-54, 单 击 * 保 存 ” 按 钮 , 保 
存 扫描 结果 。 


a 
加 


四 软件 下 载 txt 


奥 


保存 类 型 () [Regshot 文件 [*.hiv] 


文件 名 中 testl 了 
二 取消 


图 4-54 保存 扫描 结果 


(3) 保存 结束 后 ,“ 快 照 一 ”按钮 为 不 可 用 状态 ,如 图 4-55 所 示 。 
(4) 执行 冰河 服务 器 端 程序 ,然后 单 击 “ 快 照 二 ”按钮 ,进行 第 二 次 扫描 ,扫描 完成 后 进 
行 保存 ,保存 完毕 后 “快照 二 ”按钮 也 变 成 不 可 用 ,如 图 4-56 所 示 。 


比较 记录 另存 为 : 快 阳 一 名 三 比较 记录 另存 为 : 癸 牛 二 () 
人 文本 文件 个 TML 文件 一 | 人 文本 文件 个 NTNL 文件 = 


三 | 


输出 路 各 : 一 一 一 一 一 一 一 三 输出 路 径 : 


:teacher\HEIN\ 信 息 对 于 | jn: \teacher\HEIN\ 信 息 对 j sel 


添加 注释 到 记录 文件 : _ 尖 加 注释 到 i 好 文件 :2 一 一 一 
[| [L 


图 4-55 第 一 次 保存 结束 图 4-56 第 二 次 保存 结束 
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(5) 单 击 “比较 ?按钮 , 稍 后 得 到 以 下 结果 : 


REGSHOT 记录 文件 

个 人 注释 : 

日 期 时 间 :2005/9/7 09:24:35, 2005/9/7 09:25:41 
计算 机 名 :HEIN - 4M7F0C8380，HEIN - 487F0C8380 
用 户 名 称 :Administrator, Administrator 


HKEY LOCAL MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\: "C:\WINDOWS\system32\ 
Kernel32. exe" 

HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices\: "C:\WINDOWS\ 
system32\Kernel32. exe" 


HKEY_LOCAL MACHINE\SOFTWARE\Classes\txtfile\shell\open\command\ : "Notepad. exe %1" 
HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ txtfile\ shell\open\command\: "C:\WINDOWS\ system32\ 
Sysexplr. exe %1" 


从 上 面 的 结果 中 可 以 看 到 : 冰河 木马 添加 了 包括 Run、RunServices 在 内 的 5 个 键 值 ， 
指向 Kernel32. exe 文件 ; 修改 了 9 个 键 值 ,其 中 将 文本 文件 与 Sysexplr. exe 文件 建立 了 关 
联 。 而 Kernel32. exe 和 Sysexplr. exe 文件 就 是 冰河 木马 。 


4.3.4 木马 的 清除 


通过 以 上 方法 ,基本 能 确定 系统 中 是 否 存 在 木马 。 

手工 清除 木马 的 步骤 是 : 找到 木马 文件 、 结 束 木 马 进 程 . 删 除 木 马 文件 进行 善后 处 理 
(如 修改 注册 表 恢复 文件 关联 等 ) ,具体 过 程 详 见 4. 3. 2 节 中 “4. 冰河 的 清除 ”小 节 。 

当然 ,木马 查找 和 清除 最 好 的 办 法 还 是 借助 于 专门 的 软件 实现 。 专 业 的 木马 清除 工具 
有 Trojan Hunter 和 AVG Anti-Spyware (Ewido) 等 ,在 如 图 4-57 所 示 的 AVG Anti- 
Spyware 窗口 中 可 以 按 需 扫描 ,图 4-58 显示 了 扫描 到 的 安全 威胁 及 其 相关 信息 。 

木马 查 杀 工具 和 杀毒 工具 一 样 ,病毒 库 中 有 多 少 木 马 的 特征 信息 , 它 就 能 查 杀 多 少 木 
马 , 没 有 升级 病毒 库 的 查 杀 工具 就 如 同 虚设 ,对 新 出 现 的 木马 根本 没有 检测 和 查 杀 能 力 , 因 
此 要 经 常 升级 病毒 库 。 


4.3.5 木马 的 预防 
与 病毒 一 样 ,木马 是 一 种 危险 的 破坏 性 程序 ,要 保护 自己 的 机 器 不 被 木马 人 侵 , 应 该 做 
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话 AVG AntiSpyware 国 回 固 
bb 本 - 用 疹 目 让 ? 
状态 更 新 扫 基 器 贸 扩 盾 。。 古 淋 报告 分 析 于 助 
扫描 设置 计划 器 
于 完整 系统 扫 拭 

扫描 内 存 注 册 表 和 你 的 所 有 硬盘 
三 时 、 快速 系统 扫描 
Se。 3 擅 内 存 注册 表 Windows 目 录 和 cookie 文 件 到 
区 ~ 于 二 并 

扫 拉 Windows 广 册 表 寻找 恶意 软件 踪迹 
念 内 存 扫描 

扫描 内 存 寻找 活动 威 有 
小 自 定 扫描 

扫 扩 所 有 和 起 要 扫 拉 的 


图 4-57 扫描 选项 
户 AVG AntiSpyware 回回 
ie 本 - 有 时 亲 日 全 时 
状态 更 新 扫描 器 驻 留 护 盾 忆 染 报 省 分 析 工具 和 帮助 

扫描 设置 计划 器 | 

也 29 个 对 象 被 找到 (49 个 踪迹 ) Adware.Generic 
威 肋 操作 风险 ”下 广 洁 软 件 是 指 在 软件 安装 到 电脑 上 后 或 在 应 用 程序 被 使 用 时 自 
中 国 动 播放 ,显示 或 下 载 广告 材料 到 电脑 的 任意 软件 包 , 广告 软件 党 

TrackingCookie. Inrworldride 外 咯 一 次 中 党 灸 捆绑 或 集成 强 | 下 他 软件 
OTracineCookie. Doubleclick 。 鸳 略 一 次 中 | 
OTrackinet ookie. Revenue 报 略 一 次 中 | 
四 Trackinarookie Skype 忽略 一 次 | 
四 Trackingookie Real 创 略 一 次 中 > 
加 Trackinarookie Yieldnanager 怨 略 一 次 中 | 了 2 个 踪迹 在 以 下 位 置 科 找 到 : 
OTracdkinecookie. 2o7 怨 咯 一 次 中 七 HRW\ DEFAWLT\Software\Microsoft\Windows\Curren. 
加 Treekintcookie Mbrite 创 略 一 次 中 日 国 HWS-1-5-18\Software\MicrosoftMWindows\Curren. .. 
四 Trackingcookie Adengage 怨 咯 一 次 中 
和 Trackingcookie Mtech 复 咯 一 次 中 
四 Trackinarookie Adyertising ”外 咯 一 次 中 
息 Trackingcookie Mint 创 略 一 次 中 
四 Trackinzrookie Serving sys ”忽略 一 次 中 
加 Trackinarookie Casalenadis 谢 略 一 次 中 
OTrackineC ookie. Sextracker 到 咯 一 次 中 国 
[rc li | 
设置 所 有 元 素 为: 报 咯 一 次 
| 应 用 所 有 操作 保存 报 汗 ET 


4-58 ”扫描 结果 
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到 以 下 几 点 : 

1. 防止 电子 邮件 传播 木马 

一 定 要 养 成 良好 的 上 网 习惯 ,不 要 随意 运行 邮件 中 的 附件 。 在 通常 情况 下 ,包含 木马 的 
邮件 都 将 木马 隐藏 在 附件 中 ,常用 的 伎俩 是 采用 双 扩 展 名 ,如 将 木马 文件 2005. exe 改名 为 
2005. txt. exe, 再 换 上 一 个 记事 本 图 标 ,这 样 用 户 看 到 的 只 是 一 个 文件 名 为 2005. txt 的 文本 
文件 ,如 果 双 击 的 话 就 会 运行 森马 了 。 解 决 办 法 是 在 资源 管理 器 中 执行 “工具 ”| 文件 夹 选 
项 ”, 在 “文件 夹 选项 ”对 话 框 中 打开 “查看 ”选项 卡 ,将 “隐藏 已 知 文件 类 型 的 扩展 名 ” 复 选 项 
去 除 ,如 图 4-59 所 示 。 

利用 电子 邮件 传播 木马 的 更 隐藏 的 方式 是 通过 邮件 正文 进行 。 由 于 IE 漏洞 造成 
HTML 文件 中 可 以 被 放 人 不 安全 的 代码 ,而 电子 邮件 可 以 通过 HTML 方式 发 送 ,所 以 当 用 
户 浏览 HTML 格式 的 邮件 内 容 时 ,在 没有 打开 附件 的 情况 下 就 不 知 不 觉 地 中 了 木马 。 

所 以 ,当面 对 一 封 主题 不 明确 或 主题 很 有 诱惑 性 的 邮件 时 ,最 好 的 办 法 是 把 整个 邮件 保 
存 到 本 地 硬盘 , 先 用 杀毒 软件 查 杀 ,确定 安全 后 再 打开 。 

2. 防止 下 载 时 感染 木马 

养 成 良好 的 下 载 习惯 ,不 要 到 一 些小 网 站 中 下 载 东 西 , 对 任何 下 载 的 文件 和 程序 都 不 要 
直接 打开 ,而 是 先 使 用 杀毒 软件 查 毒 后 再 打开 。 

使 用 FlashGet 等 下 载 工具 进行 下 载 , 并 把 下 载 工 具 和 杀毒 软件 进行 捆绑 ,以 达到 下 载 
后 自动 杀毒 的 目的 。 

在 FlashGet 中 实现 捆绑 的 方法 如 下 : 

(1) 运行 FlashGet, 执 行 “ 工 具 ”|“ 选 项 "命令 。 

(2) 打开 “文件 管理 ”选项 卡 ,选中 “下 载 完 毕 后 进行 病毒 检查 " 复 选 框 ,如 图 4-60 所 示 。 


[ 窜 规 查看 。 [文件 类 型 | 脱 机 文件 | 


I 连接 ”| 协议 
文件 夹 视图 " 文件 管理 
而 oe 7 EE [i 


有 文件 夹 。 移动 条 目 时 已 下 载 的 文件 @) 


er a] OF 加 OW 


高 级 设置 如 果 目 标 文件 已 存在 
回 忌 标 指向 文件 赤 和 点 面 项 时 显示 提示 信息 昌 本 羡 中 〇 自动 更 名 由 名 暂停 下 载 G) 


回 回 下 载 元 毕 后 进行 病毒 检 查 EW 


(C: \RAVS\KAV32. EXE | ] 浏览 B)..、 
参数 (A): 自动 进行 病毒 检查 的 文件 扩展 名 : 


口 旺 3 ET 

日 ee x 里 ZIP;. EXE:.D02;.XL?; .COW: . BIN: .GZ;.Z; .TAR: .ARJ;.L2 

口 在 标题 栏 显示 完整 路 径 

中 在 单独 的 进程 中 打开 文件 夫 窗 口 下 载 完毕 后 打开 或 者 查看 已 下 载 的 文件 @) 
口 在 营 


录 时 还 原 上 一 个 文件 天 窗口 件 类 型 I) WP3; -WPG: -WPEG; .WOV: . AYI 


图 4-59 显示 文件 扩展 名 图 4-60 下载 完毕 后 进行 病毒 检查 


(3) 单 击 “浏览 "按钮 ,选择 杀毒 软件 所 在 位 置 。“ 参 数 " 和 ”自动 进行 病毒 检查 的 文件 扩 
展 名 ”两 个 文本 框 按 默 认 设置 。 
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3. 防止 浏览 网 页 时 传播 木马 

由 于 IE 默认 设置 的 不 安全 性 ,导致 文件 和 程序 可 以 在 不 经 过 人 允许 的 情况 下 被 下 载 到 本 
地 执行 ,可 以 通过 对 IE 进行 安全 设置 杜绝 这 种 途径 的 传播 ,具体 方法 如 下 

(1) 打开 正 , 执 行 “ 工 具 ”|*Internet 选项 ”。 

(2) 在 “Internet 选项 ?对 话 框 中 打开 * 安 全 ”选项 卡 ,再 单 击 * 自 定义 级 别 ? 按 钮 ,出 现 如 
图 4-61 所 示 的 对 话 框 。 

(3) 将 “Active 控件 及 插件 ”中 所 有 选项 设置 为 禁用 。 这 就 阻止 了 IE 自动 下 载 和 执行 
文件 的 可 能 性 ,杜绝 了 这 类 木马 的 传播 。 

4. 使 用 防火 墙 

虽然 很 多 传统 的 防火 墙 不 会 阻止 木马 进入 被 保护 的 网 络 , 但 它们 可 以 阻止 任何 木马 连 
接 到 黑客 并 进行 远程 访问 。 即 使 木马 能 够 通过 邮件 通知 黑客 它 的 入 侵 成 功 ,新 的 木马 端口 
也 很 有 可 能 被 正确 配置 的 防火 墙 拒绝 ,如 图 4-62 所 示 。 


(@) 天 网 防火 墙 警告 信息 


匡 比 加 (R) Windows (TD 


〇 有 用 网 络 信息 
对 标记 为 可 安全 执行 脚本 的 ActiveX 控件 执行 脚 = 作 ， 成 为 网 络 服务 程序 
8 可 口 : 木马 冰河 [7626] 
加 提示 
对 没有 标记 为 安全 的 ActiveX 控件 进行 初始 化 和 有 
@ 甘 用 文件 信息 


aa] 名称 ; Mi crosoft (R) Windows (TW) 操 
因 乱 5 
是 本， 2,2,0.0 
创建 ，2005-9-7 
路 径 ，C: WINDOWS\systen32 
\Kernel32. exe 


图 4-61 安全 设置 对 话 框 图 4-62 使 用 防火 墙 拒绝 木马 


4.4 扫描 器 


黑客 人 侵 网 络 主机 的 流程 是 : 首先 利用 扫描 工具 ping 某 一 IP 段 ,寻找 目标 主机 ,发 现 
目标 主机 后 扫描 该 主机 开放 的 端口 ,利用 开放 端口 ,获取 目标 主机 的 相关 信息 ,如 服务 程序 ， 
利用 该 程序 的 已 知 漏洞 或 直接 入 侵 或 上 传 木马 程序 ,以 达到 入 侵 的 目的 。 

在 网 络 安全 领域 ,扫描 器 是 最 出 名 的 网 络 工具 之 一 。 黑 客 在 发 起 攻击 前 ,要 收集 远程 目 
标 主机 的 相关 信息 ; 一 名 优秀 的 网 络 管理 员 也 需要 随时 了 解 服务 器 端的 运行 状态 ,以 便 发 
现 安 全 隐患 。 对 双方 而 言 ,一 个 好 的 端口 扫描 器 可 以 起 到 事半功倍 的 作用 。 

扫描 是 攻击 过 程 的 一 个 极其 重要 的 环节 ,成 功 的 扫描 往往 能 直接 导致 一 次 成 功 的 攻击 ， 
而 一 次 粗心 大 意 的 扫描 往往 会 使 攻击 者 得 不 到 有 用 的 信息 而 被 迫 知 难 而 退 ,甚至 被 人 跟踪 
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从 而 被 反 黑 或 者 入 狱 。 从 防御 角度 看 ,能 防 好 黑客 扫描 ,基本 就 成 功 了 一 半 。 
4.4.1 漏洞 概述 


系统 安全 漏洞 ,也 叫 系统 脆 弱 性 ,简称 漏洞 ,是 计算 机 系统 在 硬件 ,软件 .协议 的 设计 与 
实现 过 程 中 或 系统 安全 策略 上 存在 的 缺陷 和 不 足 。 这 些 安全 缺陷 被 技术 高 低 不 等 的 入 侵 者 
利用 ,从 而 达到 控制 目标 主机 或 破坏 的 目的 。 

非法 用 户 可 利用 漏洞 获得 计算 机 系统 的 额外 权限 ,在 未 经 授权 的 情况 下 访问 或 提高 其 
访问 权限 ,从 而 破坏 系统 的 安全 性 。 

1. 漏洞 造成 的 危害 

漏洞 造成 的 危害 是 多 方面 的 。 近 年 来 许多 突 发 的 大 规模 的 网 络 安全 事件 多 数 都 是 由 
于 漏洞 而 导致 的 。 

漏洞 对 系统 造成 的 危害 在 于 : 虽然 它 本 身 不 会 直接 对 系统 造成 危害 ,但 它 可 能 会 被 攻 
击 者 利用 ,继而 破坏 系统 的 安全 特性 。 

通常 而 言 ,漏洞 会 对 以 下 5 种 系统 安全 特性 造成 危害 : 

1) 系统 的 完整 性 

攻击 者 可 以 利用 漏洞 入 侵 系 统 ,对 系统 数据 进行 非法 算 改 ,达到 破坏 数据 完整 性 的 
目的 。 

2) 系统 的 机 密 性 

攻击 者 利用 漏洞 给 非 授权 的 个 人 和 实体 泄漏 受 保护 信息 。 有 些 时 候 , 机 密 性 和 完整 性 
是 交 秋 的 。 

3) 系统 的 可 用 性 

攻击 者 利用 漏洞 破坏 系统 或 者 网 络 的 正常 运行 ,导致 信息 或 网 络 服 务 不 可 用 ,合法 用 户 
的 正常 服务 要 求 得 不 到 满足 。 

4) 系统 的 可 控 性 

攻击 者 利用 漏洞 对 授权 机 构 控 制 信息 的 机 密 性 造成 危害 。 

5) 系统 的 可 靠 性 

攻击 者 利用 漏洞 对 用 户 认 可 的 质量 特性 (信息 传递 的 迅速 性 、 准 确 性 等 ) 造 成 危害 。 

下 面 是 两 个 漏洞 危害 的 简单 实例 : 

【 例 4-4】 利用 Windows XP 的 AutoRun 漏洞 删除 硬盘 文件 。 

AutoRun 指 在 Windows XP 系统 的 计算 机 中 插入 光盘 后 ,光盘 中 Autorun. inf 文件 指 
定 的 程序 被 自动 运行 的 现象 。 利 用 Windows XP 的 AutoRun 漏洞 进行 攻击 的 过 程 如 下 : 

(1) 新 建 一 个 文本 文件 ,输入 以 下 内 容 : 

[AutoRun] 

open = run\del c:\test. txt 

(2) 保存 文件 ,将 该 文件 重 命 名 为 Autorun. inf。 

(3) 使 用 光盘 刻录 工具 刻录 一 张 光盘 ,在 光盘 的 根 目 录 中 加 入 Autorun. inf 文件 。 

(4) 在 C 盘 根 目 录 下 新 建 test. txt 文件 。 

(5) 插入 光盘 并 让 其 自动 运行 。 
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(6) 光盘 自动 运行 结束 后 ,查看 C 盘 根 目录 ,发现 文件 test. txt 已 被 删除 。 

【 例 4-5】 利用 Foxmail 的 漏洞 取消 保护 口令 。 

(1) 运行 Foxmail。 

(2) 右 单 击 账户 名 test, 执 行 “ 访 问 口 令 ” 命 令 , 出 现 如 图 4-63 所 示 的 对 话 框 。 

(3) 在 对 话 框 中 输入 口令 , 单 击 “ 确 定 ” 按 钮 。 

(4) 关闭 并 重新 打开 Foxmail, 双击 被 保护 的 账户 test, 出 现 如 图 4-64 所 示 的 对 话 框 ， 
表示 访问 口令 设置 已 生效 , 单 击 * 取 消 ” 按 钮 ,然后 关闭 Foxmail。 


图 4-63 设置 访问 口令 图 4-64 访问 口令 生效 


(5) 通过 “我 的 电脑 ”进入 Foxmail 程序 的 安装 文件 夹 ,再 进入 mail\test 文件 夹 ,找到 
保存 账户 配置 信息 的 Account. stg 文件 ,将 其 删除 。 

(6) 运行 Foxmail, 双 击 被 保护 的 账户 test, 发 现 对 该 账户 的 所 有 操作 均 可 进行 。 这 是 
由 于 Account. stg 文件 被 删除 后 ,Foxmail 会 自动 新 建 一 个 空 的 Account. stg 文件 ,而 新 建 
文件 的 账户 口令 为 空 值 ,所 以 删除 Account. stg 文件 后 可 以 直接 访问 被 保护 的 账户 。 

2. 漏洞 产生 的 原因 

漏洞 产生 的 主要 原因 是 由 于 程序 员 不 正确 或 不 安全 的 编程 引起 的 。 漏 洞 产生 的 原因 不 
外 乎 以 下 几 种 : 

1) 输入 验证 错误 

由 于 未 对 用 户 提供 的 输入 数据 的 合法 性 做 适当 的 检查 。 这 种 错误 导致 的 安全 问题 
最 多 。 

2) 访问 验证 错误 

由 于 程序 的 访问 验证 部 分 存在 某 些 可 利用 的 逻辑 错误 ,或 用 于 验证 的 条 件 不 足以 确定 
用 户 的 身份 而 造成 的 。 这 类 缺陷 使 非法 用 户 绕 过 访问 控制 成 为 可 能 ,从 而 导致 未 经 授权 的 
访问 。 

3) 竞争 条 件 错 误 

由 于 程序 在 处 理 文件 等 实体 时 在 时 序 和 同步 方面 存在 问题 ,在 处 理 的 过 程 中 可 能 存在 
一 个 机 会 窗口 使 攻击 者 能 够 施 以 外 来 的 影响 。 

4) 意外 情况 处 置 错 误 

由 于 程序 在 它 的 实现 逻辑 中 没有 考虑 到 一 些 本 应 该 考虑 的 意外 情况 。 这 种 错误 比较 
常见 。 

5) 配置 错误 

由 于 系统 和 应 用 的 配置 有 误 ,或 是 软件 安装 在 错误 的 地 方 ,或 是 参数 配置 错误 ,或 是 访 
问 权限 配置 错误 等 。 
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6) 环境 错误 

由 于 一 些 环境 变量 的 错误 或 恶意 设置 造成 的 漏洞 .导致 有 问题 的 特权 程序 可 能 去 执行 
攻击 代码 。 

7) 设计 错误 

这 个 类 别 是 非常 笼统 的 ,严格 来 说 ,大 多 数 漏洞 的 存在 都 是 设计 错误 造成 的 。 

3. 漏洞 的 分 类 

从 应 用 的 角度 看 ,系统 漏洞 可 以 分 为 网 络 安全 漏洞 和 系统 安全 漏洞 两 种 。 网 络 安全 漏 
洞 主要 是 因 提 供 网 络 服务 而 产生 的 ,系统 漏洞 主要 是 针对 本 地 用 户 而 言 的 。 

通常 根据 漏洞 产生 的 原因 、 存 在 的 位 置 和 利用 漏洞 攻击 的 原理 进行 分 类 ,如 表 4-8 
所 示 。 


表 4-8 漏洞 的 分 类 
漏洞 产生 原因 漏洞 存在 位 置 漏洞 攻击 原理 
故意 软件 拒绝 | 缓冲 区 程序 
恶意 | 非 恶意 不 应 用 软件 ”系统 | 服务 器 十 村 服务 | 溢出 nd a 错误 


4. 漏洞 的 发 现 

漏洞 是 客观 存在 的 ,但 是 漏洞 的 存在 不 一 定 能 够 被 发 现 。 

漏洞 是 不 断 地 被 人 们 发 现 并 公布 出 来 的 。 漏 洞 的 发 现 者 主要 是 程序 员 、 系 统管 理 员 、 安 
全 服务 商 、 黑 客 以 及 普通 用 户 。 

从 攻击 者 的 角度 ,他们 会 不 断 地 去 发 现 目标 系统 的 安全 漏洞 ,从 而 通过 漏洞 入 侵 系 统 。 
从 系统 安全 防护 的 角度 来 看 ,系统 管理 员 会 努力 发 现 可 能 存在 的 系统 漏洞 ,在 漏洞 被 攻击 者 
发 现 、 利 用 之 前 就 将 其 修补 好 。 

5. 漏洞 的 检测 

漏洞 检测 即 通过 一 定 的 技术 方法 主动 地 去 发 现 系统 中 未 知 的 安全 漏洞 。 

现 有 的 漏洞 检测 技术 有 源 代码 扫描 、 反 汇编 代码 扫描 、 渗 透 分 析 、 环 境 错误 注入 等 。 源 
代码 扫描 、 反 汇编 代码 扫描 以 及 渗透 分 析 都 是 一 种 静态 的 漏洞 检测 技术 ,不 需要 程序 运行 即 
可 分 析 程 序 中 可 能 存在 的 安全 漏洞 。 而 环境 错误 注入 是 一 种 动态 的 漏洞 检测 技术 , 它 在 程 
序 动态 运行 过 程 中 测试 软件 存在 的 漏洞 ,是 一 种 比较 成 熟 的 漏洞 检测 技术 。 

1) 源 代 码 扫描 

源 代码 扫描 技术 主要 针对 开放 源 代码 的 程序 ,由 于 相当 多 的 安全 漏洞 在 源 代码 中 会 出 
现 类 似 的 错误 ,所 以 就 可 以 通过 匹配 程序 中 不 符合 安全 规则 的 部 分 ,如 文件 结构 \ 命 名 规则 、 
函数 .堆栈 指针 等 ,从 而 发 现 程序 中 可 能 隐 含 的 安全 缺陷 。 这 种 漏洞 检测 技术 需要 熟练 掌握 
编程 语言 ,并 预先 定义 出 不 安全 代码 的 审查 规则 ,通过 表达 式 匹 配 的 方法 检查 源 程序 代码 。 
这 种 方法 不 能 发 现 程序 动态 运行 过 程 中 存在 的 安全 漏洞 ,而且 会 出 现 大 量 的 误 报 。 

2) 反 汇 编 代 码 扫 描 

对 于 不 公开 源 代码 的 程序 , 反 汇 编 代码 扫描 是 最 有 效 的 检测 方法 。 分 析 反 汇编 代码 需 
要 有 丰富 的 经 验 和 很 高 的 技术 。 可 以 自行 分 析 代码 .也 可 以 使 用 辅助 工具 得 到 目标 程序 的 
汇编 脚本 语言 ,再 对 汇编 出 来 的 脚本 语言 使 用 扫描 的 方法 ,检测 不 安全 的 汇编 代码 序列 。 通 
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过 反 汇 编 代码 扫描 这 种 方法 可 以 检测 出 大 部 分 的 系统 漏洞 ,但 这 种 方法 费时 费力 ,对 人 员 的 
技术 水 平 要 求 很 高 ,同样 不 能 检测 到 程序 动态 运行 过 程 中 产生 的 安全 漏洞 。 

3) 渗透 分 析 

渗透 分 析 方 法 是 依据 已 知 安全 漏洞 知识 检测 未 知 的 漏洞 。 但 是 渗透 分 析 是 以 事先 知道 
系统 中 的 某 种 漏洞 为 先决 条 件 的 。 渗 透 分 析 的 有 效 性 与 执行 分 析 的 程序 员 有 关 , 缺 乏 评估 
的 客观 性 。 

4) 环境 错误 注入 

环境 错误 注入 法 是 在 软件 运行 的 环境 中 故意 注入 人 为 的 错误 ,并 验证 反应 一 一 这 是 验 
证 计算 机 和 软件 系统 容错 性 和 可 靠 性 的 一 种 有 效 方法 。 

【 例 4-6】 使 用 Windows 基准 安全 分 析 器 检查 漏洞 。 

Microsoft Baseline Security Analyzer(MBSA) 是 微软 提供 的 检测 Windows 系统 安全 
的 免费 软件 。 可 以 进行 Windows 操作 系统 安全 漏洞 检测 IIS 安全 分 析 、Office 安全 分 析 和 
SQL Server 安全 分 析 , 其 使 用 步骤 如 下 : 

(1) 启动 Microsoft Baseline Security Analyzer, 出 现 如 图 4-65 所 示 的 主 界面 。 


他 了 icrosoft Baseline Security Analyzer 


生 Baseline Security Analyzer 


Microsoft Baseline Security Welcome to the Microsoft Baseline Security Analyzer 
Analyzer 
The Microsoh Baselne Securi Analyzer checks computers running Miciosok Windows® Server 2003, 
Windows XP, Windows 2000, or Windows NT® 4.0 for common security misconfigurations. You must 
DD Welcome have administrator privieges for each computer you want to scan. 
i te 
Ek a po en Scans can be perlomed localy and emolely against computers runring Windows Server 2003, 
Pick multple computers to scan Windows XP Windows 2000, and Windows N? 4 0. Note that on compuers uring Windows XP and 
Re ool eva 


器 View asecuity repot Scanacompuler 


See Also Scan more than one computer 
口 Microsof Baseline Securiy View eyisting security reports 
Analyzer Help 
加 About Microsoft Baselne Security 
Analyzer 


Microsoft Securig Web site 


es, LLC. All rights reserved 


图 4-65 MBSA 主 界面 


(2) 若 要 对 单机 进行 检测 , 单 击 Pick a computer to scan ,出 现 图 4-66 。 

其 中 Check for Windows vulnerabilities 项 分 析 Windows 的 安全 性 ,Check for weak 
passwords 项 对 弱 口 令 进行 分 析 ,Check for IIS vulnerabilities 项 对 Internet Information 
Server 的 脆弱 性 进行 评估 ,Check for SQL vulnerabilities 项 对 SQL Server 的 脆弱 性 进行 分 
析 ,Check for hotfixes 项 对 最 新 的 安全 更 新 进行 检查 。 
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人 了 icrosoft Baseline Security Analyzer 


古 “Baseline Security Analyzer 


Microsoft Baseline Security 
Analyzer 


口 Welcome 
口 Pick a computer to scan 

OD Pick multiple compulets to scan 
Pick a secunily report to view 
Vews 


ry report 


See Also 

口 Microsoft Baseline Securiy 
Analyzer Help 

器 About Microsoft Baseline Security 
Analyzer 


Microsoft Securiy Web site 


2004 Microsoft Corporation 


Pick a computer to scan 


Specily the computer you want to scan You can enter either the computer name or its IP address. 


Computer name: 
IPaddess 


Securly Ieport name: 


Dptions: 


Stat scan 


havlik Technol 


MSHOME\HEIN-4A7FOC8380 | [this computer) 
图 


%D%-%C%[%T 潮 


%D% = domain, XC% = compuler, XT% = date and time, 
XlP% =IP address 


回 check for Windows vulnerabilties 
Check for weak passwords 
回 check lorll5 yunerabilties 
回 check for SQL vuinerabiiies 
Check for securiy updates 

DD Use sus Server 


Leam more about Scanning Options 


All rights reserved 


图 4-66 ”检测 单 台 计 算 机 
(3) 单 击 Start Scan 按钮 ,系统 进入 扫描 状态 ,如 图 4-67 所 示 。 


人 Microsoft Baseline Security Analyzer 


Microsof 


a 
态 ABaseline Security Analyzer 


Microsoft Baseline Security 
Analyzer 


Welcome 

Pick a computer to scan 
Pick multiple computers to scan 
日 Pick a securilty iepot lo view 


日 View a securily report 


See Also 


© Microsok Baseline Security 
Analyzer Help 


osoft Baselne Secuiy 


Microsoht Securty Web site 


Er 


Curenty scanring MSHOMEAHEIN-4A7F0C8380 


图 4-67 系统 进行 扫描 
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(4) 扫描 结束 后 ,自动 出 现 分 析 结 果 和 安全 报告 ,如 图 4-68 所 示 。 


全 Microsoft Baseline Security Analyzer (J) 


从 Baseline Security Analyzer 


Microsoft Baseline Security View security report 


Analyzer 


Welcome 

Fick a computer to scan 

QD Pick multiple compulets to scan 
© Pick a securily report to view 
口 Yiew asecuriy report 


Not al hard dives are using the NTFS fle aystem 
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图 4-68 分 析 结 果 和 安全 报告 


(5) 单 击 报告 中 的 Result Details 链接 ,就 会 列 出 详细 的 安全 漏洞 ,用 户 可 以 根据 这 些 
系统 漏洞 安装 补丁 程序 。 

6. 漏洞 的 修补 

漏洞 检测 的 目的 在 于 发 现 漏洞 ,一旦 发 现 了 新 的 系统 安全 漏洞 ,那么 下 一 步 需 要 做 的 就 
是 及 时 下 载 系统 补丁 进行 “修补 ”。 

下 载 系统 补丁 可 以 使 用 Windows 自 带 的 “自动 更 新 ”功能 实现 ,也 可 以 使 用 诸如 360 安 
全 卫士 等 第 三 方 工具 实现 。 

7. 十 大 著名 XP 漏洞 

(1) RPC 远程 缓冲 区 溢出 漏洞 (冲击 波 蠕虫 )。 

2003 年 7 月 21 日 ,微软 官方 公布 了 编号 为 CVE-2003-0352 的 远程 过 程 调用 (Remote 
Procedure Call, RPC) 漏 洞 ,只 要 是 计算 机 上 有 RPC 服务 并 且 没 有 打 安 全 补丁 的 计算 机 都 
存在 这 个 RPC 漏洞 。 

就 在 此 后 不 到 一 个 月 的 时 间 , 即 8 月 11 日 ,冲击 波 (Worm. Blaster) 蠕 虫 第 一 次 被 注意 
并 疯狂 蔓延 , 它 不 断 繁 殖 并 感染 ,在 短 短 一 周 之 内 攻击 了 全 球 80% 的 Windows 用 户 。 这 款 
病毒 利用 的 正 是 微软 公司 发 布 的 CVE-2003-0352 漏洞 。 

冲击 波 病毒 运行 时 会 不 停 地 利用 IP 扫描 技术 寻找 网 络 上 系统 为 Windows 2000 或 
Windows XP 的 计算 机 ,找到 后 就 利用 上 述 漏洞 进行 攻击 ,攻击 成 功 后 ,病毒 会 被 传送 到 对 
方 计算 机 中 进行 感染 ,使 系统 反复 重启 ,不 能 收发 邮件 .不 能 正常 复制 文件 .无 法 正常 浏览 网 
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页 ,不 能 进行 复制 粘贴 等 操作 。 另 外 ,冲击 波 病毒 还 会 对 微软 的 一 个 升级 网 站 进行 拒绝 服务 
攻击 ,导致 该 网 站 堵塞 ,使 用 户 无 法 通过 该 网 站 升级 系统 。 在 2003 年 8 月 16 日 以 后 ,该 病 
毒 还 会 使 被 攻击 的 系统 丧失 更 新 该 漏洞 补丁 的 能 力 。 

冲击 波 病毒 利用 系统 漏洞 自动 发 起 攻击 的 特点 ,使 当时 的 很 多 普通 电脑 用 户 第 一 次 深 
切 地 感受 到 不 及 时 给 系统 打 补 丁 的 严重 危害 ,也 纠正 了 很 多 人 固有 的 “只 要 不 访问 不 良 网 
站 ,不 使 用 盗版 软件 ,电脑 就 不 会 感染 木马 病毒 ”的 错误 认识 。 

(2) Windows Helps 和 Support 中 心 远程 命令 执行 漏洞 (震荡 波 蠕 虫 )。 

2003 年 9 月 ,微软 公司 发 布 了 “Windows 帮助 和 支持 中 心 ”的 远程 命令 执行 漏洞 ,编号 
为 CVE-2003-0907。 次 年 ,一 名 来 自 德国 下 萨克森 州 罗 滕 保 的 17 岁 学 生 编 写 了 震荡 波 
(Sasser) 蠕 虫 ,该 病毒 利用 这 个 远程 命令 执行 漏洞 , 几 天 内 就 让 上 千 万 台电 脑 感染 ,造成 超 
过 500 万 美元 的 经 济 损失 。 震 荡 波 蠕虫 可 以 随机 地 扫描 网 络 中 计算 机 的 IP 端口 ,然后 进行 
传播 。 尽管 可 以 利用 防火 墙 阻止 该 电脑 蠕虫 的 传播 ,但 给 系统 打上 微软 针对 该 漏洞 的 
MS04-011 补丁 才 是 最 根本 的 解决 措施 。 

(3) MSDTC COM 十 远程 代码 执行 漏洞 ( 袋 蛇 蠕 虫 ) 。 

2005 年 12 月 18 日 ,一 款 名 为 “ 贷 蛇 ”"(Dasher) 的 蠕虫 病毒 出 现在 网 上 。 这 款 病 毒 利用 
了 多 个 漏洞 进行 传播 ,而 其 中 最 主要 的 就 是 利用 了 微软 10 月 发 布 的 编号 为 CVE-2005-1978 
的 MSDTC COM 十 远程 代码 执行 漏洞 。 

用 户 的 计算 机 被 该 蠕虫 病毒 感染 后 ,会 自动 连接 到 黑客 控制 的 服务 器 ,等 待 黑 客 进 行 远 
程控 制 。 病 毒 会 自动 下 载 多 个 恶意 程序 并 攻击 其 他 漏洞 。 该 病毒 还 会 自动 记录 用 户 的 键盘 
操作 ,以 窃取 用 户 的 QQ MSN 、 网 络 游戏 ,网 上 银行 等 的 账号 和 密码 并 发 送 给 黑客 ,给 用 户 

(4) Windows Server 服务 远程 缓冲 区 溢出 漏洞 (魔鬼 波 蠕虫 ) 。 

微软 在 2006 年 8 月 8 日 例 行 发 布 了 编号 为 CVE-2006-3439 的 Windows Server 服务 远 
程 缓冲 区 溢出 漏洞 。 而 仅仅 几 天 以 后 ,利用 该 漏洞 传播 的 “魔鬼 波 ”(Mocbot. b) 蠕 虫 现 身 互 
联网 ,感染 该 蠕虫 的 计算 机 将 被 黑客 远程 完全 控制 , 沦 为 “肉鸡 ”, 并 可 能 导致 RPC 服务 崩 
溃 , 使 用 户 无 法 上 网 。 

(5) Windows Server 服务 RPC 请 求 缓冲 区 溢出 漏洞 (Gimmiv 蠕虫 ) 。 

2008 年 10 月 24 日 ,微软 发 布 了 罕见 的 紧急 Windows 安全 补丁 (MS08-067) ,到 26 日 
为 止 ,安全 研究 人 员 正 式 宣布 了 一 种 新 的 名 为 Gimmiv 的 蠕虫 诞生 ,并 公布 了 部 分 源 代码 。 

该 蠕虫 是 一 种 木马 间谍 类 病毒 ,利用 了 Windows Server 服务 RPC 请 求 缓冲 区 溢出 漏 
洞 (编号 为 CVE-2008-4250) ,感染 成 功 后 会 依次 检测 并 记录 系统 中 是 否 存在 指定 的 反 病 毒 
软件 ,依次 检测 并 记录 当前 系统 版 本 信息 ,采集 系统 信息 及 用 户 敏 感 信 息 后 ,会 将 以 上 收集 
到 的 信息 发 送 到 特定 的 网 站 。 

(6) Windows SMB NT Trans2 请 求 远程 拒绝 服务 及 代码 执行 漏洞 (Conficker 蠕虫 ) 。 

2008 年 11 月 ,Conficker( 也 被 称 作 Kido) 利 用 Windows 操作 系统 编号 为 CVE-2008- 
4835 的 漏洞 将 自己 植 人 未 打 补 丁 的 电脑 ,并 以 局 域 网 .U 盘 等 多 种 方式 传播 。 有 相关 报告 
称 , 由 于 有 30% 的 Windows 计算 机 没有 更 新 微软 2008 年 10 月 发 布 的 补丁 ,导致 Conficker 
的 传播 范围 非常 之 广 ,超过 1500 万 台 计 算 机 。 

当 Conficker 蠕虫 在 一 台电 脑 中 成 功 运行 时 , 它 会 禁用 一 些 系统 服务 ,如 Windows 系统 
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更 新 ,Windows 安全 中 心 ,Windows Defender 和 Windows 错误 报告 等 。 然 后 它 会 连接 至 特 
定 的 服务 器 ,并 进行 传播 ,收集 个 人 信息 ,以 及 下 载 安装 附加 的 恶意 程序 到 受害 人 的 计算 
机 中 。 

当时 ,美国 国防 部 报告 说 已 经 有 很 多 主要 的 系统 和 桌面 计算 机 被 感染 ,Conficker 已 经 
遍布 行政 办 公 室 、 潜 艇 、 医 院 和 整个 城市 。 一 位 法 国土 兵 在 家 使 用 U 盘 中 了 Conficker, 随 
后 法 国 海军 内 网 被 大 面积 感染 , 军 方 如 临 大 敌 , 不 仅 切 断 所 有 Web 与 电邮 系统 ,部 分 战机 的 
起 飞 计 划 也 被 突然 叫 停 。 随 后 ,英国 、 德 国 的 军事 系统 也 爆 出 大 面积 感染 Conficker 蠕虫 的 
消息 ,其 传播 能 力 与 影响 力 可 见 一 斑 。 

(7) IE* 极 光 ” 漏 洞 。 

2010 年 1 月 ,微软 官方 发 布 了 Microsoft Security Advisory (979352) 安 全 公告 ,确认 在 
IE6/7/8 版 本 中 ,存在 名 为 Aurora( 极 光 ) 的 漏洞 (编号 为 CVE-2010-0249) ,涉及 的 操作 系统 
包括 : Windows 2000 SP4, Windows XP/2003/Vista/2008, Windows 7。 微 软 在 安全 公告 
中 表示 ,IE 在 特定 情况 下 ,有 可 能 访问 已 经 被 释放 的 内 存 对 象 导致 任意 代码 执行 ,该 漏洞 可 
以 被 用 来 进行 网 页 挂 马 。 

1 月 12 日 ,Google 在 其 官方 blog 上 发 表 文 章 , 称 Google 和 至 少 20 家 其 他 公司 遭 到 了 
源 自 中 国 的 攻击 。 攻 击 造 成 部 分 Google 知识 产权 被 盗 。 通 过 技术 分 析 , 这 些 攻 击 带 有 明显 
的 针对 性 。 而 在 此 事件 中 ,攻击 Google 所 利用 的 正 是 Aurora( 极 光 ) 漏 洞 。 

(8) 微软 Lnk( 快 捷 方式 ) 漏 洞 。 

2010 年 7 月 ,微软 Lnk 漏洞 (CVE-2010-2568) 引 发 广泛 关注 。Lnk 漏洞 是 影响 范围 最 
大 的 一 次 微软 漏洞 事件 ,当时 主流 版 本 的 Windows 操作 系统 都 受到 了 影响 。 该 漏洞 可 以 让 
黑客 实现 “看 一 眼 就 中 毒 ” 的 传播 感染 方式 。 以 前 的 病毒 .木马 大 多 需要 用 户主 动 单 击 打开 ， 
而 通过 Lnk 漏洞 传播 的 病毒 木马 在 用 户 浏 览 文件 名 的 时 候 就 已 经 发 作 了 ,让 用 户 防 不 
胜 防 。 

超级 工厂 病毒 (Stuxnet 蠕虫 病毒 ) 是 世界 上 首 个 专门 针对 工业 控制 系统 编写 的 破坏 性 
病毒 。 它 便 是 利用 了 Windows Shell 漏洞 传播 恶意 文件 的 ,而 造成 这 个 漏洞 的 原因 是 
Windows Lnk 漏洞 ( 即 错误 地 分 析 快 捷 方 式 , 当 用 户 单 击 特制 快捷 方式 的 显示 图 标 时 可 能 
执行 恶意 代码 ) 。 

(9) 暴 雷 漏洞 。 

2013 年 6 月 13 日 凌晨 ,微软 发 布 紧急 公告 , 称 Windows 基础 组 件 出 现 高 危 漏洞 “ 暴 
雷 ”(CVE-2012-1889) ,并 推出 “ 暴 雷 ”漏洞 临时 解决 方案 。“ 暴 雷 ” 是 基于 Windows 基础 组 件 
的 远程 攻击 漏洞 ,黑客 可 以 通过 该 漏洞 ,以 恶意 网 页 ,文档 等 形式 将 任意 木马 植 和 用户 电脑 , 窃 
取 重 要 资料 和 账号 信息 。 该 漏洞 影响 多 个 版 本 Office, 几 乎 全 体 Windows 用 户 都 受 威胁 。 

“ 暴 雷 ” 漏 洞 由 360 互联 网 安全 中 心 和 Google 相继 发 现 ,并 将 漏洞 细节 报告 给 微软 公司 
的 。 微 软 表示 : 在 默认 情况 下 ,下 能 够 在 部 分 版 本 上 运行 增强 安全 配置 的 模式 ,微软 的 主动 防 
御 计 划 (MAPP) 也 将 向 合作 的 安全 软件 合作 伙伴 提供 漏洞 的 具体 信息 ,方便 安全 软件 更 新 。 

(10) IE* 秘 狐 ” 漏 洞 (XP 停 服 后 的 第 一 个 重大 安全 漏洞 ) 。 

2014 年 4 月 26 日 ,微软 官方 公布 了 安全 公告 2963983, 曝 出 了 一 种 可 以 远程 执行 代码 
的 漏洞 (CVE-2014-1776) ,该 漏洞 存在 于 IE6 到 IE11 的 各 个 版 本 中 。 如 果 用 户 访问 到 特别 
设计 过 的 恶意 网 站 ,可 能 会 导致 用 户 电脑 被 完全 控制 .删除 数据 ,安装 恶意 软件 。 
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北京 时 间 5 月 2 日 凌晨 ,微软 官网 发 布 紧急 安全 补丁 (安全 公告 : MS14-021) ,用 于 修复 
上 周 曝 出 的 IE* 秘 狐 ” 高 危 漏 洞 。 这 是 微软 2014 年 首次 打破 每 月 第 二 个 周二 定期 打 补丁 的 
惯例 ,甚至 为 已 停止 服务 支持 的 Windows XP 系统 也 提供 了 补丁 。 

由 于 这 是 微软 4 月 8 日 停止 对 Windows XP 系统 进行 更 新 后 报 出 的 第 一 个 高 危 安 全 漏 
洞 , 因 此 备 受 业内 关注 。“ 秘 狐 ” 漏 洞 也 为 人 们 项 响 了 警钟 。 

8. 网 站 漏洞 攻击 

2013 年 ,在 扫描 的 91. 2 万 个 各 类 网 站 中 ,存在 安全 漏洞 的 网 站 为 59. 7 万 个 , 占 扫 描 网 
站 总 数 的 65.5%。 其 中 ,存在 高 危 安 全 漏洞 的 网 站 共有 26. 6 万 个 , 占 扫描 网 站 总 数 的 
29.2%。 

高 危 是 指 黑客 可 以 取得 服务 器 控制 权限 ,可 以 对 网 站 进行 肆意 更 改 ; 中 危 指 黑客 能 够 
入 侵 网 站 , 且 可 以 造成 自 改 ; 低 危 是 存在 扫描 行为 ,可 能 给 网 站 带 来 危害 。 

在 被 扫 出 的 各 类 网 站 安全 漏洞 中 , 跨 站 脚本 漏洞 (41.6%) 和 SQL 注入 漏洞 (15. 5%% ) 两 
类 高 危 安 全 漏洞 是 占 比 最 高 的 网 站 安全 漏洞 ,二 者 之 和 超过 网 站 所 有 漏洞 检 出 总 次 数 的 
一 半 。 

黑客 利用 漏洞 入 侵 网 站 ,实现 内 容 自 改 ,数据 窃取 或 控制 网 站 等 目的 。 

2013 年 ,被 拦截 漏洞 攻击 次 数 最 多 的 10 个 漏洞 类 型 包括 : PHP-DDoS 脚本 拒绝 服务 
攻击 、Apache Struts2 远程 命令 执行 漏洞 .远程 代码 执行 漏洞 .基于 GET 方式 的 SQL 注入 
漏洞 .备份 文件 探测 、 通 用 远程 代码 执行 漏洞 .SQL 注入 扫描 攻击 ,任意 文件 包含 漏洞 . 跨 站 
脚本 攻击 、 敏 感 信 息 泄露 等 , 占 到 漏洞 攻击 拦截 总 量 的 67.7%。 


4.4.2 扫描 器 原理 


一 个 端口 就 是 一 个 潜在 的 通信 通道 ,也 就 是 一 个 人 侵 通 道 。 对 目标 计算 机 进行 端口 扫 
描 , 能 得 到 许多 有 用 的 信息 。 进 行 扫描 的 方法 很 多 ,可 以 是 手工 扫描 ,也 可 以 用 端口 扫描 软 
件 进行 。 

1. 端口 扫描 的 概念 

端口 扫描 技术 是 一 项 自动 探测 本 地 和 远程 系统 端口 开放 情况 的 策略 及 方法 , 它 使 系统 
用 户 了 解 系统 目前 向 外 界 提 供 了 哪些 服务 ,从 而 为 系统 用 户 管理 网 络 提供 了 一 种 手段 。 

端口 扫描 向 目标 主机 的 TCP/IP 服务 端口 发 送 探测 数据 包 , 并 记录 目标 主机 的 响应 。 
通过 分 析 响 应 来 判断 服务 端口 是 打开 还 是 关闭 ,就 可 以 得 知 端口 提供 的 服务 或 信息 。 

端口 扫描 也 可 以 通过 捕获 本 地 主机 或 服务 器 的 流入 流出 IP 数据 包 来 监视 本 地 主机 的 
运行 情况 , 它 仅 能 对 接收 到 的 数据 进行 分 析 , 从 而 发 现 目标 主机 的 某 些 内 在 的 弱点 ,而 不 会 
提供 进入 一 个 系统 的 详细 步骤 。 

2. 常见 端口 扫描 技术 

利用 TCP 协议 来 进行 端口 扫描 是 常用 的 端口 扫描 方法 ,因为 现在 的 很 多 网 络 应 用 都 是 
基于 TCP 协议 来 实现 的 ,例如 Web 服务 器 就 是 基于 TCP 端口 80 的 。 最 基本 的 TCP 扫描 
就 是 使 用 TCP 连接 来 实现 ,如 果 目 标 主机 能 够 连接 成 功 ,就 表示 对 方 开放 了 此 端口 ,如 果 失 
败 就 表示 端口 关闭 。 

TCP 协议 的 数据 格式 如 图 4-69 所 示 。TCP 中 有 6 个 标志 位 ,其 中 ACK 表示 确认 号 ; 
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SYN 置 1 时 用 来 发 起 一 个 连接 ; FIN 置 1 时 表示 发 送 端 完 成 发 送 任务 ,用 来 释放 连接 ,表明 
发 送 方 已 经 没有 数据 发 送 了 ; RST 置 1 时 重建 连接 ,如 果 接 收 到 RST 位 ,通常 表明 发 生 了 
某 些 错 误 。 


图 4-69 ”TCP 数据 格式 


TCP 正常 连接 也 称 为 三 次 握手 过 程 ,在 这 个 过 程 中 ,第 一 个 报 文 的 代码 位 设置 为 SYN， 
序列 号 为 m, 表 示 开 始 一 次 握手 。 接 收 方 收 到 这 个 段 后 ,向 发 送 者 回 发 一 个 报 文 。 代 码 位 设 
置 为 SYN 和 ACK ,序列 号 设置 为 ,确认 序列 号 设置 为 m 十 1。 发 送 者 在 收 到 这 个 报 文 后 ， 
就 可 以 进行 TCP 数据 发 送 , 于 是 . 它 又 向 接收 者 发 送 一 个 ACK 段 , 表 示 双 方 的 连接 已 经 建 
立 。 在 完成 握手 之 后 ,就 开始 正式 的 数据 传输 。 上 面 握手 段 中 的 序列 号 都 是 随机 产生 的 。 

TCP 扫描 技术 中 主要 利用 TCP 连接 的 三 次 握手 特性 来 进行 ,也 就 是 所 谓 的 半 开 扫描 。 
这 些 办 法 可 以 绕 过 一 些 防 火 墙 ,而 得 到 防火 墙 后 面 的 主机 信息 。 这 些 方 法 还 有 一 个 好 处 就 
是 比较 难 被 记录 ,不 容易 被 系统 发 现 。 

常见 的 端口 扫描 技术 包括 TCP connect 扫描 ,TCP SYN 扫描 ,秘密 扫描 以 及 其 他 扫 
描 , 如 图 4-70 所 示 。 


TCP SYN 扫 描 


TCP connect 扫 描 


TCP FIN 扫 描 


门 TCP ACK 扫 描 


端口 扫描 后 搬 NULLE 肛 


XMAS 扫 描 


一 SYN/ACK 扫 描 


站 ”UDP 扫描 


IP 头 信息 
其 他 扫描 ”站 dumb 扫 描 


站 ”IP 分 段 扫 描 
门 。 慢 速 扫描 
二 乱 序 扫描 


图 4-70 常见 端口 扫描 技术 
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1) TCP connect 扫描 

通过 端口 扫描 ,根据 远程 主机 开放 的 端口 ,可 以 初步 确定 对 方 提供 的 服务 类 型 。 

进行 端口 扫描 最 常用 的 方法 就 是 尝试 与 远程 主机 的 端口 建立 一 次 正常 的 TCP 连接 , 若 
连接 成 功 则 表示 目标 端口 开放 。 这 种 扫描 技术 称 为 “TCP connect 扫描 ”,TCP connect 扫描 
是 TCP 端口 扫描 的 基础 ,也 是 最 直接 的 端口 扫描 方法 。 它 实现 起 来 非常 容易 ,只 需要 在 软 
件 编程 中 调用 Socket API 的 connect() 函 数 去 连接 目标 主机 的 指定 端口 ,完成 一 次 完整 的 
TCP 三 次 握手 连接 建立 过 程 ,如 果 端 口 开 放 , 则 连接 建立 成 功 ; 否则 , 则 返回 一 1, 表 示 端 口 

TCP connect 端口 扫描 服务 端 与 客户 端 建立 连接 成 功 (目标 端口 开放 ) 的 过 程 如 图 4-71 
所 示 。 
(1) Client 端 发 送 SYN。 


| (2) Server 端 返回 SYN/ ACK ,表明 端口 开放 。 


(3) Client 端 返回 ACK ,表明 连接 已 建立 。 


Client SYN/ACK Server 
当 | -一 | CD Client 端 主动 断 开 连 接 。 


[| TCP connect 端口 扫描 服务 端 与 客户 端 未 建立 连 
接 成 功 (目标 端口 关闭 ) 的 过 程 如 下 。 
图 4-71 连接 成 功 (1) Client 端 发 送 SYN。 


(2) Server 端 返 回 RST/ACK ,表明 端口 未 开放 。 

这 种 扫描 方式 的 优点 如 下 : 

(1) 实现 简单 ,对 操作 者 的 权限 没有 严格 要 求 ( 有 些 类 型 的 端口 扫描 需要 操作 者 具有 
root 权限 ) ,系统 中 的 任何 用 户 都 有 权力 使 用 这 个 调用 ,而 且 如 果 想 要 得 到 从 目标 端口 返回 
banners 信息 ,也 只 能 采用 这 一 方法 。 

(2) 扫描 速度 快 。 如 果 对 每 个 目标 端口 以 线性 的 方式 ,使 用 单独 的 connect() 调 用 ,可 
以 通过 同时 打开 多 个 套 接 字 , 从 而 加 速 扫描 。 

缺点 是 会 在 目标 主机 的 日 志 记录 中 留 下 痕迹 , 易 被 发 现 , 并 且 数据 包 会 被 过 滤 掉 。 目 标 
主机 的 logs 文件 会 显示 一 连 串 的 连接 和 连接 出 错 的 服务 信息 ,并且 能 很 快 地 使 它 关 闭 。 

2) TCP SYN 扫描 

TCP 通信 双方 是 使 用 三 次 握手 来 建立 TCP 连接 的 ,申请 建立 连接 的 客户 端 需 要 发 送 
一 个 SYN 数据 报 文 给 服务 端 ,服务 端 会 回复 ACK 数据 报 文 。 

半 开 放 扫描 就 是 利用 三 次 担 手 的 弱点 来 实现 的 : 扫描 器 向 远程 主机 的 端口 发 送 一 个 请 
求 连接 的 SYN 数据 报 文 , 如 果 没 有 收 到 目标 主机 的 SYN/ACK 确认 报 文 ,而 是 RST 数据 
报 文 , 就 说 明 远 程 主机 的 这 个 端口 没有 打开 。 而 如 果 收 到 远程 主机 的 SYN/ACK 应 答 , 则 
说 明 远 程 主机 端口 开放 ,其 扫描 过 程 如 图 4-72 所 示 。 

(1) Client 发 送 SYN。 

(2) 如 果 Server 端 发送 SYN/ACK ,就 可 以 判断 
端口 开放 ,如 图 4-73(a) 所 示 ; 如 果 Server 端 回复 
RST, 表 示 端 口 关闭 ,如 图 4-73(b) 所 示 。 

(3) 如 果 端 口 开 放 , 则 Client 发 送 RST 断 开 。 

扫描 器 在 收 到 远程 主机 的 SYN/ACK 后 ,不 会 再 4-72 ”TCP SYN 扫描 
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SYN 


SYN+ACK 


(a) 端口 打开 (b) 端口 关闭 


图 4-73 端口 判断 


回复 自己 的 ACK 应 答 ,这样 ,三 次 握手 并 没有 完成 ,正常 的 TCP 连接 无 法 建立 ,因此 这 个 
扫描 信息 不 会 被 记 入 系统 日 志 。 这 种 扫描 技术 一 般 不 会 在 目标 计算 机 上 留 下 记录 。 

TCP SYN 扫描 的 优点 是 比 TCP connect 扫描 更 隐蔽 ,Server 端 可 能 不 会 留 下 日 志 记 
录 。 其 缺点 是 在 大 部 分 操作 系统 下 ,扫描 主机 需要 构造 适用 于 这 种 扫描 的 IP 包 , 而 通常 情 
况 下 ,构造 自己 的 SYN 数据 包 必 须要 有 root 权限 。 

3) 秘密 扫描 

秘密 扫描 是 一 种 不 被 审计 工具 所 检测 的 扫描 技术 , 它 通常 用 于 在 通过 普通 的 防火 墙 或 
路 由 器 的 筛选 时 隐藏 自己 。 

秘密 扫描 能 躲避 IDS、 防 火 墙 ` 包 过 滤器 和 日 志 审计 ,从 而 获取 目标 端口 的 开放 或 关闭 
的 信息 。 由 于 没有 包含 TCP 三 次 握手 协议 的 任何 部 分 ,所 以 无 法 被 记录 下 来 , 比 半 连 接 扫 
描 更 为 隐蔽 。 但 是 这 种 扫描 的 缺点 是 扫描 结果 的 不 可 靠 性 会 增加 ,而 且 扫 描 主 机 也 需要 自 
己 构 造 IP 包 。 

现 有 的 秘密 扫描 有 NULL 扫描 、TCP FIN 扫描 、TCP ACK 扫描 ,XMAS 扫描 和 
DUMP 扫描 等 。 

4) NULL 扫描 

其 原理 是 将 一 个 没有 设置 任何 标志 位 的 数据 包 发 送 给 TCP 端口 ,在 正常 的 通信 中 至 少 
要 设置 一 个 标志 位 。 根 据 RFC 793 的 要 求 , 在 端口 关闭 的 情况 下 , 若 收 到 一 个 没有 设置 标 
志 位 的 数据 字段 ,那么 主机 应 该 舍弃 这 个 字段 ,并 发 送 一 个 RST 数据 包 ,和 否则 不 会 响应 发 起 
扫描 的 客户 端 计算 机 。 也 就 是 说 ,如 果 TCP 端口 处 于 关闭 , 则 响应 一 个 RST 数据 包 , 若 处 
于 开放 则 无 响应 ,如 图 4-74 所 示 。 


| ss NULL(no flags) 
Client Server Client Server 
跨 RST 

(Ga) 端口 打开 (b) 端口 关闭 


图 4-74 NULL 扫描 
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但 是 Windows 系统 主机 不 遵从 RFC 793 标准 , 且 只 要 收 到 没有 设置 任何 标志 位 的 数 
据 包 ,不管 端口 是 处 于 开放 还 是 关闭 都 响应 一 个 RST 数据 包 , 因 此 ,对 Windows 系统 而 言 ， 
NULL 扫描 是 无 效 的 。 

5) TCP FIN 扫描 

TCP FIN 扫描 使 用 的 是 FIN 标志 ,如 果 发 送 一 个 FIN 标志 的 TCP 报 文 到 一 个 关闭 的 
端口 ,那么 应 该 返回 一 个 RST 报 文 , 如 果 发 送 到 一 个 开放 的 端口 ,那么 应 该 没有 任何 反应 。 
如 果 收 到 ICMP 端口 不 可 达 错 误 数据 包 , 则 不 能 确认 是 否 开放 或 者 关闭 ,把 它 称 为 状态 未 知 
端口 ,如 图 4-75 所 示 。 

EE 机 A 主机 B 主机 A 主机 B 主机 A 主机 B 


ICMP 差 错 报 文 


(a) 端口 关闭 (b) 端口 可 能 打开 (0) 端口 状态 未 知 


图 4-75 ”TCP FIN 扫描 


构造 含有 FIN 标志 的 TCP 数据 包 到 目标 主机 B 的 某 一 个 端口 ,如 果 返 回 含 有 RST 的 
TCP 报 文 ,那么 表示 端口 关闭 ,如 果 没 有 任何 反应 , 则 有 可 能 表示 端口 打开 ,如 果 产 生 ICMP 
差错 报 文 , 则 端口 的 状态 是 未 知 。 

上 文 的 * 有 可 能 ?是 指 由 于 网 络 环境 的 复杂 性 ,或 者 由 于 有 防火 墙 或 存在 其 他 网 络 过 滤 
设备 ,阻碍 了 正常 的 数据 流程 ,所 以 不 能 够 明确 判断 端口 是 否 打 开 。 需 要 注意 的 是 ,对 
Windows 系统 而 言 ,TCP FIN 扫描 是 无 效 的 。 

6) TCP ACK 扫描 

TCP ACK 扫描 是 利用 标志 位 ACK ,而 ACK 标志 在 TCP 协议 中 表示 确认 序号 有 效 ， 
它 表示 确认 一 个 正常 的 TCP 连接 。 但 是 在 TCP ACK 扫描 中 没有 进行 正常 的 TCP 连接 过 
程 ,实际 上 是 没有 真正 的 TCP 连接 。 那 么 当 发 送 一 个 带 有 ACK 标志 的 TCP 报 文 到 目标 主 
机 的 端口 时 ,目标 主机 会 怎样 反应 呢 ? 

使 用 TCP ACK 扫描 不 能 够 确定 端口 的 关闭 或 者 开放 ,因为 当 发 送 给 对 方 一 个 含有 
ACK 的 TCP 报 文 时 ,无 论 端 口 是 开 放 或 者 关闭 ,都 返回 含有 RST 标志 的 报 文 。 所 以 ,不 能 
使 用 TCP ACK 扫描 来 确定 端口 是 否 开放 或 者 关闭 。 但 是 可 以 利用 它 来 扫描 防火 墙 的 配 
置 ,用 它 来 发 现 防 火 墙 规则 ,确定 它们 是 有 状态 的 还 是 无 状态 的 ,哪些 端口 是 被 过 滤 的 。 

7) XMAS 扫描 

通过 将 TCP 数据 包 中 的 ACK、FIN、RST、SYN、URG、PSH 标志 位 置 1 后 发 送 给 目标 
主机 。 在 目标 端口 开放 的 情况 下 ,目标 主机 将 不 返回 任何 信息 。 
正常 情况 下 ,URG、PSH.、FIN 三 个 标志 位 不 能 被 同时 设置 ,但 通过 该 扫描 可 以 判断 端 
口 是 关 闭 的 还 是 开放 的 ,如 图 4-76 所 示 。 
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Client Server Client 


XMAS(all flags) 


Server 


(a) 端口 打开 (b) 端口 关闭 
图 4-76 XMAS 扫描 


该 扫描 同样 不 能 判断 Windows 平台 上 的 端口 。 

8) DUMP 扫描 

DUMP 扫描 也 称 为 Idle 扫描 或 反 向 扫描 ,在 扫描 主机 时 应 用 了 第 三 方 僵尸 计算 机 扫 
描 。 由 僵尸 主机 向 目标 主机 发 送 SYN 包 , 目 标 主机 端口 开放 时 回应 SYN/ACK ,关闭 时 返 
回 RST; 僵尸 主机 对 SYN/ACK 回应 RST, 对 RST 不 做 回应 。 从 伪 尸 主机 上 进行 扫描 时 ， 
进行 的 是 一 个 从 本 地 计算 机 到 僵尸 主机 的 .连续 的 ping 操作 。 查 看 僵尸 主机 返回 的 Echo 
响应 的 ID 字段 ,能 确定 目标 主机 上 哪些 端口 是 开放 的 或 是 关闭 的 。 

3. 扫描 器 的 作用 

扫描 器 是 一 种 自动 检测 远程 或 本 地 主机 安全 性 弱点 的 程序 ,通过 使 用 扫描 器 可 以 不 留 
痕迹 地 发 现 远程 服务 器 的 各 种 TCP 端口 的 分 配 、 提 供 的 服务 和 它们 的 软件 版 本 。 可 以 让 用 
户 间 接 或 直观 地 了 解 到 远程 主机 所 存在 的 安全 问题 。 

通过 端口 扫描 ,可 以 得 到 许多 有 用 的 信息 ,例如 目标 计算 机 的 用 户 名 ,目标 计算 机 正在 
运行 什么 服务 ,这 个 服务 是 由 哪 种 软件 提供 的 ,运行 的 是 什么 操作 系统 。 知 道 了 目标 计算 机 
上 运行 的 操作 系统 和 服务 应 用 程序 后 ,就 能 利用 已 经 发 现 的 漏洞 来 进行 攻击 。 如 果 目 标 计 
算 机 的 网 络 管理 员 没 有 对 这 些 漏洞 及 时 修补 的 话 , 入 侵 者 就 能 轻而易举 地 间 入 该 系统 ,获得 
管理 员 权限 ,并 留 下 后 门 。 入 侵 者 得 到 目标 计算 机 上 的 用 户 名 后 ,能 使 用 口令 破解 软件 ,多 
次 尝试 后 ,就 有 可 能 进入 目标 计算 机 。 

一 般 情况 下 ,搜集 一 个 网 络 或 者 系统 的 信息 ,是 一 个 比较 综合 的 过 程 。 可 以 从 下 面 几 点 
进行 : 

(1) 找到 网 络 地 址 范围 和 关键 的 目标 机 器 IP 地 址 。 

(2) 找到 开放 端口 和 入 口 点 。 

(3) 找到 系统 的 制造 商 和 版 本 。 

(4) 找到 某 些 已 知 的 漏洞 。 

4. 扫描 器 的 分 类 

按照 扫描 的 目的 进行 分 类 ,扫描 器 可 以 分 为 端口 扫描 器 和 漏洞 扫描 器 。 

端口 扫描 向 目标 主机 的 TCP/IP 服务 端口 发 送 探测 数据 包 , 并 记录 目标 主机 的 响应 。 
通过 分 析 响 应 来 判断 服务 端口 是 打开 还 是 关闭 的 ,就 可 以 得 知 端口 提供 的 服务 或 信息 。 端 
口 扫 描 也 可 以 通过 捕获 本 地 主机 或 服务 器 的 流入 流出 IP 数据 包 来 监视 本 地 主机 的 运行 情 
况 , 它 仅 能 对 接收 到 的 数据 进行 分 析 , 从 而 发 现 目标 主机 的 某 些 内 在 弱点 ,而 不 会 提供 进入 
一 个 系统 的 详细 步骤 。 
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端口 扫描 器 并 不 是 一 个 直接 攻击 网 络 漏洞 的 程序 , 它 单纯 地 用 于 扫描 主机 开放 的 端口 
及 端口 的 相关 信息 ,仅仅 能 帮助 人 们 发 现 目标 机 的 某 些 内 在 的 弱点 。 通 过 选用 远程 TCP/ 
IP 不 同 端口 的 服务 ,并 记录 目标 给 予 的 回答 ,通过 这 种 方法 ,可 以 搜集 到 很 多 关于 目标 主机 
的 各 种 有 用 的 信息 ,如 是 否 能 匿名 登录 ,是 否 有 可 写 的 FTP 目录 ,是 否 开放 TELNET 服务 
等 。 常 见 的 端口 扫描 器 有 nmap portscan 等 ,它们 不 能 直接 给 出 可 以 利用 的 漏洞 ,只 给 出 与 
攻击 系统 相关 的 信息 。 一 个 好 的 端口 扫描 器 能 对 它 得 到 的 数据 进行 分 析 , 帮 助人 们 查找 目 
标 主机 的 漏洞 。 

漏洞 扫描 器 不 仅仅 提供 简单 的 端口 扫描 功能 ,还 带 有 入 侵 性 质 ,如 Shadow Security 
Scanner 流光 和 X-Scan 等 。 它 们 不 仅 可 以 对 远程 操作 系统 类 型 及 端口 进行 扫描 ,而 且 还 可 
以 对 应 用 程序 信息 ,漏洞 及 系统 弱 口 令 进 行 扫描 。 它 们 用 已 知 的 漏洞 攻击 方法 检查 目标 主 
机 ,如 果 发 现 攻 击 生 效 , 则 向 扫描 者 报告 该 漏洞 。 相 对 于 端口 扫描 器 ,漏洞 扫描 器 的 威胁 性 
更 大 ,黑客 可 以 直接 利用 扫描 的 结果 进行 攻击 。 


4.4.3 漏洞 扫描 器 X-Scan 


X-Scan 是 由 国内 著名 的 网 络 安全 站 点 一 一 安全 焦点 开发 的 一 款 运行 在 Windows 平台 
下 完全 免费 的 扫描 工具 。 它 采用 多 线程 方式 对 指定 IP 地 址 段 (或 单机 ) 进 行 安全 漏洞 检测 ， 
支持 插件 功能 ,提供 了 图 形 界面 和 命令 行 两 种 操作 方式 。 扫 描 内 容 包 括 : 远程 服务 类 型 . 操 
作 系 统 类 型 及 版 本 ,各 种 弱 口 令 漏洞 .后 门 、 应 用 服务 漏洞 .网 络 设备 漏洞 .拒绝 服务 漏洞 等 
二 十 几 个 大 类 。 

下 面 是 使 用 X-Scan 进行 网 络 漏洞 扫描 的 实现 过 程 : 

(1) 运行 X-Scan 的 图 形 界 面 程序 xscan_gui. exe, 出 现 如 图 4-77 所 示 的 界面 。 


全 X-Scan v3.1 GUI 


文件 WW 设置 由) 查看 以 工具 上) Langusge 帮助 也 ) 
LI@eelpnme| 图 | 过 | 器 | 
普通 信息 | 漏洞 信息 | 错误 信息 | 


-Sean-v3.1 使 用 说 明 


I Bi 


一， 系统 要 求 : Windows WT4/2000/XP/2003 


二， 功能 简介 : 


采用 多 线程 方式 对 指定 I 地 址 段 或 单机 ) 进 行 安全 漏洞 检测 ， 支 持 插件 功能 ， 提 供 了 图 形 界面 和 命令 行 两 种 换 作 方式 ,扫描 内 容 包括 : 远程 
| 服务 类 型 、 操 作 系统 类 型 及 版 本 ， 各 种 弱 口 令 漏洞 、 后 门 、 应 用 服务 漏洞 、 网 络 设备 漏洞 、 拒 绝 服 务 涡 洞 等 二 十 几 个 大 类 。 py 
我 们 给 出 了 相应 的 漏洞 描述 、 解 决 方案 及 详 组 扒 述 链接 ， 其 它 漏洞 资料 正在 进一步 整理 完善 中 您 也 可 以 通过 本 站 的 “安全 文摘 ” 和“ 
洞 ”栏目 查阅 相关 说 明 。 

3.0 版 本 提供 了 简单 的 插件 开发 包 , 便于 有 编程 基础 的 朋友 自己 锭 写 或 格 其 他 油 试 通过 的 代码 修改 为 -Scan 插件 。 另 外 Nessus 攻 击 脚本 的 季 译 
工作 已 经 开始 ,欢迎 所 有 对 网 络 安全 感 兴趣 的 朋友 参与 。 需 要 “Hessus 攻 击 脚 本 引擎 ” 源 代 码 、X-Scan 插 件 SDK、 示 例 插件 源 代码 或 愿意 参与 脚本 
叫 译 工作 的 朋友 ,可 通过 本 站 “x-Scan” 项 目 链接 获 职 洋 细 资 料 : “http: /fwee xfocus. net/projects/X-Scan/index. html”。 


| 三， 所 需 文件 
an_gui 一 X-Scan 图 形 界面 主 程序 
xscan exe 一 X-Scan 命 令 行 主 程序 
checkhost. exe 一 ”插件 调度 主 程序 
pdate exe 在 线 升 级 主 程序 
#1 一 主 程序 所 需 动 志 链 接 库 
使 用 说 明 . txt 一 ”六 Sean 使 用 说 明 
/datflanguaee. ini 一 ”多 语言 配置 文件 ， 可 通过 设置 “LANCUAGE\SELECTED” 项 进行 语言 切换 
/ne 和 一 ”多 语言 数据 文件 
Ldat ranfir ini -用 户 孔 轩 广 件 ， 用 和 干 保存 竺 检测 雍 口 列 需 、r6T 温 润 检测 捐 关 讼 置 及 所 有 字 息 六 件 色 称 (会 相对 哆 么 \ 国 


图 4-77 X-Scan 运行 界面 
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(2) 执行 “设置 "1“ 扫 描 模块 "命令 ,出 现 “ 扫 描 模块 "窗口 ,如 图 4-78 所 示 。 根 据 需要 选 
择 相应 的 扫描 选项 ,设置 完成 后 单 击 “ 确 定 ” 按 钮 。 


图 4-78 “扫描 模块 "窗口 


(3) 执行 “设置 "1“ 扫 描 参 数 ” 命 令 , 出 现 “ 扫 描 参 数 ” 窗 口 ,如 图 4-79 所 示 。 在 “基本 设 
置 ?界面 的 “指定 IP 范围 ”中 设置 目标 主机 的 IP 地 址 ,在 其 他 界面 中 根据 需要 做 相应 的 设置 
或 保留 默认 值 ,设置 完成 后 单 击 “ 确 定 ” 按 钮 。 


ETBI0S 相 关 设置 “| MASL 相 关 设置 | 网 络 设置 | CGI 相关 设置 | 
i 高 级 设置 端口 相关 设置 。 | 。 SilP 相 关 设置 
-2. 扫描 报 此 
报告 文 件 : 
J127.0.0.1 |127_0_0_1_report. NTHL 


厂 从 文件 获取 主机 列表 


订 扫描 完成 后 目 动 生成 并 显示 报告 


厂 保存 主机 列表 
列表 文件 : 


图 4-79 “扫描 参数 ”窗口 
(4) 单 击 X-Scan 程序 界面 工具 栏 中 的 “开始 扫描 ”按钮 ,或 执行 “文件 ”|“ 开 始 扫描 ” 命 
令 进 行 扫描 。 扫 描 过 程 的 X-Scan 界面 如 图 4-80 所 示 , 左 侧 的 主机 信息 树 显 示 了 各 项 扫描 
的 结果 ,右上 角 的 窗口 显示 目标 主机 地 址 和 当前 进度 等 信息 , 右 下 角 的 窗口 显示 扫描 过 程 中 


检测 到 的 信息 。 
(5) 扫描 结束 后 ,自动 弹出 报告 文件 ,如 图 4-81 所 示 。 对 于 报告 中 显示 的 大 多 数 漏洞 ， 
在 安全 焦点 网 站 (http://www. xfocus. net) 中 给 出 了 相应 的 漏洞 描述 、 解 决 方案 及 详细 描 


述 链 接 。 
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v3-1 CUI 
文件 WW) 设置 中 查看) 工具 QD Language 帮助 也 ) 
jelPWm| 加 | 人 省 


日 全 127.0.0.1 Windors WT5 
存活 主机 
日 坊 开放 服务 
日 - 目 135/tep 
® 


团 Nessus 攻 击 脚 本 


| EE 
普通 信息 | 漏洞 信息 | 钱 误 信息 | 

-Scan v3. 1 - 网 络 安 全 漏洞 扫描 器 

| 安全 焦点 ;: http: /rw. xfocus. or http://wew. xfocus. net 


| 正在 检测 "127.0.0.1" 
正在 检测 “存活 主机 ” 
;正在 检测 “开放 服务 ” 
正在 检测 “了 T-Server 弱 口令 
“NT-Server 弱 口令 "扫描 充 成 . 
正在 检测 "WetBios 信 息 ” 
“WetBios 信 息 “扫描 完成 
正在 检测 “snmp 信息” 
“Smmp 信 息 “扫描 充 成 
| a 1 正在 检测 “远程 拘 作 系统 ” 


图 4-80 检测 过 程 中 的 信息 


; 文件 @) 编辑 到) 查看 Q) 收藏 由) 工具 CI) 帮助 


:Ee- 介 :- 国 国 入 并 次 ex 如 全 -各 加 -加 党 芭 吕 煞 国 
;地 址 四) | 外 sean-v3.1\1og\127_0.01_report mL 国 | 轩辕 ; Bx 六 8-"| ”二 全 搜索 国 新 闻 }: 角 接 ” 
加 | 


本 报表 列 出 了 被 榨 测 主机 的 详细 漏洞 信息 , 请 根据 提示 信息 或 链接 内 容 进 行 相应 修补 , 欢迎 参加 x-5can 肢 本 盖 译 项 目 | 


国 
前 
洲 
部 
-ialsi= 


主机 检测 结果 
127.0.0,1 | 发 现 安全 提示 
主机 摘要 -05: Windows NT 5,1; PORTITCP: 135 

[天 加 而 向 


机 地 址 


SE | 是 我 的 电脑 


4-81 检测 报告 
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4.4.4 扫描 技术 的 发 展 趋势 


扫描 技术 在 网 络 安全 领域 中 起 到 了 越 来 越 重 要 的 作用 ,扫描 技术 将 会 朝 着 扫描 的 全 面 
性 、 隐 项 性 以 及 智能 性 等 方面 进一步 发 展 。 

1. 全 面 性 

随 着 扫描 技术 的 发 展 ,单一 的 技术 将 不 会 再 有 发 展 前 途 , 未 来 扫描 技术 的 一 个 基本 要 求 
就 是 能 够 发 现 数量 更 多 、 类 型 更 加 全 面 的 安全 漏洞 。 

现 有 的 安全 扫描 技术 ,如 端口 检测 扫描 技术 ,还 有 一 些 基 本 规律 和 方法 可 以 总 结 。 但 是 
对 于 漏洞 检测 扫描 , 现 有 的 技术 基本 上 是 采用 漏洞 特征 匹配 的 方法 。 这 种 技术 存在 自身 的 
缺点 , 即 存在 特征 库 更 新 的 问题 。 因 此 ,预计 不 久 的 将 来 ,安全 扫描 的 实现 将 会 出 现 一 定 的 
改进 。 

2. 隐蔽 性 

随 着 各 种 安全 防范 措施 和 软件 的 应 用 ,一 般 的 安全 扫描 操作 基本 上 能 够 被 扫描 方 发 现 。 
这 个 问题 已 经 引起 了 高 度 关 注 ,一 些 方法 已 经 被 使 用 ,其 中 安全 扫描 技术 的 隐蔽 性 就 是 一 个 
很 好 的 途径 和 方向 。 

现 有 的 安全 扫描 技术 ,如 半 连 接 扫 描 、 秘 密 端 口 扫描 、 乱 序 扫描 等 都 会 被 现 有 的 防火 墙 
或 者 入 侵 检 测 系 统 发 现 。 其 至 一 些 隐蔽 的 扫描 技术 都 不 能 完全 做 到 隐 责 。 因 此 ,未 来 的 一 
些 用 于 特殊 应 用 的 安全 扫描 技术 将 会 令 扫描 操作 更 加 隐蔽 .更 加 难 被 发 现 。 

3. 智能 性 


随 着 计算 机 技术 和 智能 处 理 技术 的 发 展 ,扫描 技术 也 向 智能 化 的 方向 发 展 。 现 有 的 安 
全 扫描 技术 ,应 该 说 还 是 一 个 静态 的 检测 方法 。 所 谓 静态 ,是 指 一 种 扫描 技术 只 针对 其 所 能 
扫描 的 对 象 进行 检测 ,还 未 能 达到 当 安全 扫描 器 发 现 目标 主机 某 些 端口 开放 时 ,智能 地 对 其 
相关 的 漏洞 进行 检测 ; 或 者 当 它 发 现 目标 主机 存在 某 个 漏洞 时 ,智能 地 调用 其 他 漏洞 扫描 
技术 对 相关 漏洞 进行 检测 。 相 信 将 来 这 种 情况 将 会 得 到 进一步 的 改进 ,前 景 将 非常 乐观 。 
提高 扫描 技术 的 智能 性 ,可 以 明显 地 减少 毫 无 意义 的 一 些 扫描 过 程 ,提高 扫描 效率 ,同时 可 
以 深入 了 解 某 个 漏洞 的 相关 影响 程度 。 


4.4.5 反 扫 描 技术 


黑客 常常 利用 扫描 技术 进行 信息 的 收集 ,因此 ,网 络 管理 员 或 者 个 人 用 户 为 了 阻止 非 正 
常 的 扫描 操作 并 防止 网 络 攻击 ,增加 系统 安全 性 ,就 有 必要 研究 反 扫描 技术 。 

1. 反 扫 描 技术 的 原理 

扫描 技术 一 般 可 以 分 为 主动 扫描 和 被 动 扫描 两 种 ,它们 的 共同 点 是 在 扫描 过 程 中 都 需 
要 与 受害 主机 互通 正常 或 非 正常 的 数据 报 文 , 其 中 主动 扫描 是 主动 向 受害 主机 发 送 各 种 探 
测 数据 包 ,根据 其 回应 判断 扫描 的 结果 。 因 此 防范 主动 扫描 可 以 从 以 下 三 个 方面 人 手 ， 

(1) 减少 开放 端口 ,做 好 系统 防护 ; 

(2) 实时 监测 扫描 ,及 时 做 出 警告 ; 

(3) 伪装 知名 端口 ,进行 信息 欺骗 。 

被 动 扫描 与 受害 主机 建立 的 连接 通常 是 正常 连接 ,发 送 的 数据 包 也 属于 正常 范畴 ,而 且 
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被 动 扫描 不 会 向 受害 主机 发 送 大 规模 的 探测 数据 ,因此 防范 被 动 扫描 的 方法 到 目前 为 止 只 
有 采用 信息 欺骗 这 一 种 方法 。 

2. 反 扫 描 技 术 的 组 成 

扫描 是 网 上 攻击 者 获取 信息 的 最 重要 途径 ,是 攻击 开始 的 前 奏 。 防 范 和 发 现 扫 描 要 靠 
多 种 技术 综合 才能 做 到 。 在 反 扫描 技术 领域 中 常用 的 几 种 网 络 安 全 技术 分 别 是 防火 墙 技 
术 、 入 侵 检测 技术 、 审 计 技 术 和 访问 控制 技术 。 审 计 技 术 和 访问 控制 技术 是 信息 安全 领域 最 
基本 也 是 最 古老 的 防范 技术 ,防火 墙 技 术 和 入 侵 检测 技术 是 近年 来 提出 的 新 技术 ,现在 已 经 
成 为 研究 的 热点 ,这 两 类 技术 在 反 扫描 领域 中 最 重要 的 价值 是 实时 发 现 , 同 时 还 具备 一 些 简 
单 的 反击 功能 ,因此 它们 有 着 举足轻重 的 作用 。 它 们 构成 了 一 个 完整 的 网 络 安 全 防护 体系 ， 
所 防范 的 内 容 包 括 各 类 扫描 、 攻 击 在 内 的 全 方位 的 网 络 破坏 活动 。 如 果 仅 仅 是 对 扫描 进行 
防范 ,可 以 采用 系统 信息 欺骗 数据 包 监 听 、 端 口 监 测 .Honeypot 与 Honeynet 等 方法 。 

1) 防火 墙 技术 

防火 墙 技术 是 一 种 允许 内 部 网 接 和 人 外 部 网 络 , 但 同时 又 能 识别 和 抵抗 非 授权 访问 的 网 
络 技术 ,是 网 络 控制 技术 中 的 一 种 。 防 火 墙 的 目的 是 要 在 内 部 、 外 部 两 个 网 络 之 间 建 立 一 个 
安全 控制 点 ,所 有 从 因特网 流入 或 流向 因特网 的 信息 都 经 过 防火 墙 ,并 检查 这 些 信息 ,通过 
允许 ,拒绝 或 重新 定向 经 过 防火 墙 的 数据 流 , 防 止 不 希望 的 .未 经 授权 的 通信 进出 被 保护 的 
内 部 网 络 , 实 现 对 进出 内 部 网 络 的 服务 和 访问 的 审计 和 控制 。 它 是 实现 网 络 安 全 策略 的 一 
个 重要 组 成 部 分 。 

2) 入 侵 检测 技术 

入 侵 检 测 是 指 发 现 未 经 授权 非法 使 用 计算 机 系统 的 个 体 ,或 合法 访问 系统 但 滥用 其 权 
限 的 个 体 。 其 目的 是 从 计算 机 系统 和 网 络 的 不 同 关键 点 采集 信息 ,然后 分 析 这 些 信息 以 寻 
找 入 侵 的 迹象 ,针对 外 部 攻击 、 内 部 攻击 和 误 操 作 给 系统 提供 安全 保护 。 入 侵 检测 系统 按 其 
实现 方式 可 以 分 为 基于 主机 的 入 侵 检 测 系统 和 基于 网 络 的 入 侵 检测 系统 ; 按照 信息 的 处 理 
机 制 又 可 以 分 为 分 布 式 和 集中 式 ; 按照 其 人 侵 检测 模型 的 分 类 可 以 分 为 异常 检测 、 滥 用 检 
测 和 复合 检测 。 

3) 审计 技术 

审计 技术 是 使 用 信息 系统 自动 记录 网 络 中 机 器 的 使 用 时 间 、 敏 感 操 作 和 违纪 操作 等 ,为 
系统 进行 事故 原因 查询 定位、 事故 发 生 后 的 实时 处 理 提 供 详细 可 靠 的 依据 或 支持 。 它 是 发 
现 攻击 .修补 漏洞 的 主要 手段 。 一 个 安全 系统 中 的 审计 系统 是 对 系统 中 任 一 或 所 有 的 安全 
事件 进行 记录 、 分 析 和 再 现 的 处 理 系统 。 它 的 主要 目的 就 是 检测 和 阻止 非法 用 户 对 计算 机 
系统 的 入侵 ,并 记录 合法 用 户 的 误 操 作 。 

4) 访问 控制 技术 

访问 控制 是 指 对 主体 访问 客体 的 权限 或 能 力 的 限制 ,包括 限制 进入 物理 区 域 ( 出 入 控 
制 ) 和 限制 使 用 计算 机 系统 资源 ( 存 取 控制 ) ,其 目的 是 保证 网 络 资 源 不 被 非法 使 用 和 非法 访 
问 。 访 问 控制 模型 从 20 世纪 70 年 代 开 始 至 今 已 经 经 过 了 数 代 的 更 新 ,其 中 著名 的 有 自主 
访问 控制 模型 (DAC) ,强制 访问 控制 模型 (MAC) 以 及 基于 角色 的 访问 控制 模型 (RBAC) 和 
最 新 的 基于 任务 的 访问 控制 模型 (TBAC) 。 

5) 系统 信息 欺骗 

对 远程 操作 系统 的 识别 可 以 通过 获取 相关 软件 的 旗 标 (banner) 来 判断 。 如 果 修 改 了 这 
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些 程序 默认 返回 的 信息 ,就 会 导致 攻击 者 对 系统 构成 做 出 错误 的 判断 ,相应 的 攻击 动作 也 会 
有 一 定 的 偏离 ,从 而 在 一 定 程 度 上 保护 了 系统 的 安全 。 

修改 旗 标 的 方法 很 多 ,一 种 是 修改 网 络 服务 的 配置 文件 ,许多 服务 都 在 其 配置 文件 中 提 
供 显示 版 本 号 的 配置 选项 ; 第 二 种 是 修改 服务 器 的 源 代码 ,然后 重新 编译 ; 第 三 种 是 直接 
修改 软件 的 可 执行 文件 ,这 种 方法 有 一 定 的 破坏 性 ,可 以 使 用 一 些 专门 修改 旗 标 的 工具 进行 
修改 。 

6) 数据 包 监 听 

数据 包 监 听 的 方法 有 两 类 ,一 类 是 依据 来 自 同 一 数据 源 的 、 发 送 到 目标 主机 的 连续 端口 
的 数据 包 数 量 来 判断 。 但 攻击 者 可 以 修改 扫描 的 间隔 时 间 ,以 较 慢 的 速度 来 扫描 ; 或 者 在 
扫描 的 过 程 中 夹杂 大 量 来 自 虚假 IP 地 址 的 数据 包 , 将 真正 的 扫描 探测 包 混 杂 其 中 ,在 这 样 
的 情况 下 这 种 方法 就 很 容易 被 蒙骗 过 去 。 

数据 包 监 听 的 另 一 类 方法 是 过 滤 数 据 报 文 , 即 抓 取 数据 包 进 行 分 析 。 它 和 防火 墙 的 包 
过 滤 技 术 非 常 相 似 , 只 是 约束 范围 要 小 一 些 , 它 仅仅 将 一 些 在 扫描 中 会 出 现 的 特殊 报 文 作为 
匹配 规则 ,一 旦 发 现 扫 描 活动 , 则 提供 报警 封锁 IP 发送 虚 假 信息 等 手段 进行 保护 。 

7) 端口 监测 

端口 监测 的 工具 有 好 多 种 ,最 简单 的 一 种 是 在 某 个 不 常用 的 低 端 口 进行 监听 ,如 果 发 现 
有 对 该 端口 的 外 来 连接 请 求 , 就 认为 有 端口 扫描 。 通 常情 况 下 这 些 工 具 都 会 对 连接 请 求 的 
来 源 进行 反 向 探测 ,同时 弹出 提示 窗口 告警 。 

第 二 种 是 监听 一 些 知 名 端口 ,如 被 保护 主机 若 不 开放 Web 服务 和 FTP 服务 ,就 可 以 将 
Web 服务 默认 的 80 端口 和 FTP 服务 默认 的 21 端口 交 给 端口 监测 工具 来 监听 。 这 样 当 攻 
击 者 对 这 些 知名 端口 进行 探测 时 ,立即 就 可 以 知道 对 方正 在 收集 自己 的 信息 ,这 很 可 能 是 一 
次 攻击 的 开始 。 

8) Honeypot 与 Honeynet 

Honeypot 和 Honeynet 是 网 络 诱捕 技术 中 的 两 类 ,网 络 诱捕 技术 是 使 人 侵 者 相信 信息 
系统 存在 有 价值 的 可 利用 的 安全 弱点 ,并 具有 一 些 可 攻击 窃取 的 资源 。 它 能 够 显著 地 增加 
入 侵 者 的 工作 量 、 入 侵 复杂 度 以 及 入 侵 的 不 确定 性 ,从 而 使 入 侵 者 不 知道 其 进攻 是 否 奏效 或 成 
功 。 而 且 , 它 允许 防护 者 跟踪 入 侵 者 的 行为 ,在 人 侵 者 之 前 修补 系统 可 能 存在 的 安全 漏洞 。 

Honeypot 也 称 为 蜜 镀 系统 , 它 是 针对 网 络 攻 击 的 诱骗 工具 ,通过 模拟 一 个 或 多 个 易 受 
攻击 的 系统 ,给 攻击 者 提供 一 个 包含 漏洞 并 容易 被 攻破 的 系统 作为 他 们 的 攻击 目标 。 其 应 
用 场合 分 为 两 类 : 一 类 是 用 于 保护 正常 的 服务 器 环境 ,其 目的 是 “误导 ”攻击 者 ,减少 组 织 所 
受到 的 各 种 攻击 , 称 为 “产品 型 "Honeypot; 另 一 类 是 用 于 收集 黑客 组 织 信息 ,研究 攻击 者 
的 手法 及 技巧 ,其 目的 是 “研究 ”攻击 者 . 称 为 “研究 型 "Honeypot。 

Honeypot 不 仅 可 以 对 攻击 进行 检测 和 报警 ,由 于 它 不 提供 正常 的 网 络 服务 ,任何 对 密 
镀 系 统 的 网 络 访问 都 被 认为 是 攻击 ,所 以 Honeypot 的 另 一 大 优点 就 是 不 会 产生 误 报 和 
漏 报 。 

Honeynet 被 称 为 陷阱 网 络 、 蜜 网 , 它 建立 的 是 一 个 真实 的 网 络 和 主机 环境 ,可 使 用 各 种 
不 同 的 操作 系统 及 设备 ,如 Solaris、Linux、Windows NT、Cisco Switch 等 。 所 有 系统 都 是 
标准 的 机 器 ,在 这 些 系统 上 运行 的 都 是 真实 完整 的 操作 系统 及 应 用 程序 , 且 不 同 的 系统 平台 
上 运行 着 不 同 的 服务 ,使 建立 的 网 络 环境 看 上 去 更 加 真实 可 信 。Honeynet 是 一 个 网 络 系 
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统 ,而 并 非 某 台 单 一 主机 ,这 个 网 络 系统 隐藏 在 防火 墙 后 面 ,所 有 进出 的 数据 都 受到 关注 、 捕 
获 及 控制 。 这 些 被 捕获 的 数据 同 Honeypot 一 样 被 用 于 研究 和 分 析 入 侵 者 使 用 的 工具 、 方 
法 及 动机 。 

在 4.3.2 一 节 中 的 “冰河 陷阱 ?就 是 一 个 颇具 蜜 饶 特 征 的 程序 , 它 可 以 让 使 用 冰河 的 人 
侵 者 被 受害 者 逮 个 正 着 。 个 人 PC 蜜 镀 系 统 的 实现 可 以 使 用 Defnet Honeypot 或 KFSensor 
等 工具 实现 。 

【 例 4-7】 使 用 KFSensor 打造 蜜 饶 。 

(1) 双击 kfsens30. exe 文件 进行 安装 ,安装 完毕 重新 启动 ,出 现 图 4-82, 通 过 设置 向 导 
进行 蜜 缸 设置 ,如 图 4-82 所 示 。 


Set Up Wizard 


The KFSensor Set Up Wirard will take you 
aa nunber of steps to configure you 

Ml of these can configurations can be 
Using the menu 


You night like to read the nanual at this 
how KFSensor works and the concepts 


betting Started 


For help on the options in the Set 


Wizard Help 


图 4-82 ”设置 向 导 
(2) 单 击 “ 下 一 步 ”, 进 行 端口 设置 ,如 图 4-83 所 示 。 
Set Up Wizard - Port Sets 


Additional port sets 


@h i ices 
D2 Linw (services not usually in Windows) 
加 3 Trojans and worns 


KPSensor can detect intrusions on many many 
and simulate different types of 

As well as the defanlt set of ports these 
may also be 


Wizard Help 


< 上 一 步 @)] 剑 二 步 名 习 取消 


图 4-83 ”端口 设置 
(3) 单 击 “下 一 步 ”, 该 蜜 饶 设 置 一 个 域名 ,使 其 更 像 一 台 服 务 器 ,如 图 4-84 所 示 。 
(4) 一 路 单 击 * 下 一 步 ”, 完 成 蜜 负 设 置 。 设 置 完 成 后 ,运行 FSensor ,出现 如 图 4-85 所 
示 的 程序 界面 ,本 机 成 为 一 个 满 是 漏洞 的 蜜 饶 。 
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Set Up Wizard — Domain 


Domain Fane: | 


This is the domain name used to identify the 
This could be the real domain name of the machine or & 


IE you pick a fictious one, try not to use a real 
somebody 


Wizard Help 


《上 一 步 @)] 压 一 步 吕 让 取消 


图 4-84 域名 设置 


File Yiew Scenario Signatures Settings Help 


态 110 
态 119 
图 1 
加 13 
昌 3ee 
四 ‘3 
图 4 
日 4464 
目 sz 
态 563 
目 sss 
昌 sx 


加 


时 旺 电 [二 时 和 尖 唱和 目 欠 久生 和 2 国内 双人 洁 


日 是 局 


lecalhest 回 


FIP Guild 
SNTP 

WINS 

DNS 

TDHCP 】 
I1s 

ITs 81 
ITs 82 
IIs 83 
Kerberos 


NS REC - Er 
HBT Session 
IDAP 

JITPS 

BT SHB -了 
Jpasswd 
Tetllesting U 
HP SSL 
CTS 

IDAP SSL 


图 1025 hs Free 102 
出 1nor ms pv im 四 


王 Start Dura 和 Visitor 


一 ] 
Server: Running Visitors; 0 Events: 070 


4-85 ”KFSensor 程序 界面 


(5) 运行 端口 扫描 工具 Superscan, 单 击 “ 开 始 扫 描 ” 按 钮 进行 扫描 ,不 一 会 就 可 以 得 到 
扫描 结果 ,如 图 4-86 所 示 。 

从 扫描 结果 中 可 以 看 到 被 扫描 的 机 器 开放 了 很 多 危险 的 端口 ,并 且 存 在 许多 漏洞 ,当然 
这 些 都 是 KFSensor 模拟 出 来 的 。 

(6) 在 使 用 Superscan 扫描 的 同时 ,KFSensor 发 现 有 人 扫描 ,其 图 标 就 会 变 成 红色 ,这 
时 可 以 打开 KFSensor, 如 图 4-87 所 示 。 
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can Report ft Internet Explorer 


文件 到 ) ”六 辑 下 ) 查看 外 收 总 &) 工具 中 ”帮助 


@ 银 -上 日- 国 国 的 | Pie 次 wmx 固 | 全 - 怠 可 -口中 


地 址 四) | 机 :her/HEIN/ 信 息 对 抗 与 网 络 安全 /软件 /ch4/X-Sean-v3. 1-cn/X-Scan-v3. 1/1ogy127_.0_0_l_report_IIWL#27.0.0_1_21_tcp 国 加 3 


从 搜索 - 圈 | 党 网页 搜索 ”| 由 BT 搜索 | 日 HTT 载 ;链接 
主机 地 址 端口 /服务 服务 漏洞 
127 ftp (21/tcp) | 发 现 安全 提示 
127,0. smtp (25/tcp) | 发 现 安全 提示 
www (Bojtcp) | 发 现 安全 提示 
pop3(110/tcp) | 发 现 安全 提示 | 
netbios-ssn (139/tcp) | 发 现 安全 提示 | 
Junknown (3909 /tep) | 示 | 
| www (B080/tcp) | 发 现 安全 提示 | 
domain (53jtcp) 发现 安全 提示 ! 
127,0.0,1 https (443/tcp) | 发 现 安全 提示 E | 
127,0,0,1 epmap (135/tcp) | 发 现 安全 提示 
127,0,0,1 ms-sqhs (1433/tcp) | 发 现 安 主 漏洞 
类 型 ”端口 /服务 安全 漏洞 及 解决 方案 
提示 Iftp (21/tcp) [A FTP server is running on this port, 
| [ne : 10330 
提示 smtp (2Sjtcp) A SMTP server fs running on this port v 
曾 是 我 的 电脑 | 
图 4-86 扫描 结果 


or - Evaluation Trial 
File View Scenario Signatures Settings Help 


382% 


日 党 Wisitors [P| Se | Yne Visitor 

吕 127.0.0.1 - localhes BT Session... localhost 
BT Nane Se... localhost 
NBT Nane Se... localhest 
Ts lecalhost 
SQL Server localhost 
IIPS localhost 
Ds localhost 
ITS Proxy locslhost 
Terninal Se... localhost 
NBT Session... localhost 
POP3 localhost 
Ts localhost 
EL localhost 
FTP Guild localhost 
IIS Proxy localhost 
Terminal Se,.. localhost 
SQL Server localhost 
HBT Session. localhost 
localhost 

1ocslhost 

locelhost 

localhost 

localhost 

localhost 


图 4-87 打开 KFSensor 
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(7) 双击 右 侧 的 日 志 , 里 面 详 细 记录 了 扫描 的 手法 ,如 图 4-88 所 示 。 


*SMBSERVER<20 File Server Service> 
Caling Name: CYBERCOP<20 Fie Server Service> 


NBT:2 SMB: Ineg protocal] 
Protocols: 
NTLMO12 


PC NETWORK PROGRAM 10 
MICROSOFT NETWORKS 1.03 
MICROSOFT NETWORKS 30 
LANMAN1D 

LMI 2X002 

Samba 


图 4-88 入 侵 日 志 


4.5 噢 探 器 


“ 嗅 探 ” 是 一 种 在 网 络 中 常用 的 进行 数据 收集 的 方法 ,执行 这 一 操作 的 软件 就 是 嗅 探 器 。 
可 以 将 嗅 探 器 理解 为 一 个 安装 在 计算 机 上 的 窃听 设备 , 它 可 以 在 网 络 中 截获 任何 数据 ,因此 
经 常 被 用 来 进行 网 络 故障 的 检修 。 

在 一 个 非 交 换 式 局 域 网 中 ,数据 是 以 广播 方式 传送 的 。 通 常数 据 被 送 往 网 络 中 的 每 个 
节点 ,每 个 接收 者 判断 该 数据 的 目标 地 址 与 其 地 址 是 否 相 同 ,如 果 相 同 就 接收 ,不 同 则 忽略 。 
但 是 如 果 接 收 端 不 忽略 该 信息 , 则 可 以 获取 它 。 网 络 监听 就 是 利用 这 个 原理 实现 的 ,监听 所 
用 的 工具 称 为 Sniffer, 中 文 意思 就 是 “ 嗅 探 器 ”。 

网 络 监听 工具 原本 是 提供 给 网 络 管理 员 的 一 类 管理 工具 ,使 用 这 种 工具 可 以 监视 网 络 
的 状态 .数据 流动 情况 以 及 网 络 上 传输 的 信息 ,因而 一 直 受 到 网 络 管理 员 的 青睐 。 另 一 方 
面 ,网 络 监听 也 给 网 络 安全 带 来 了 极 大 的 隐患 ,因为 它 可 以 捕获 报 文 ,而 这 些 报 文中 包含 一 
些 敏 感 信 息 , 因 此 网 络 监听 工具 也 成 了 黑客 使 用 最 多 的 方法 。 但 有 一 个 前 提 条 件 , 那 就 是 监 
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听 只 能 是 同一 网 段 的 主机 ,这 里 同一 网 段 是 指 物理 上 的 连接 。 因 为 不 是 同一 网 段 的 数据 包 ， 
在 网 关 就 被 滤 掉 , 传 不 到 该 网 段 来 。 否则 一 个 Internet 上 的 一 台 主 机 , 便 可 以 监视 整个 
Internet 了 。 

网 络 监听 常常 被 用 来 获取 用 户 的 口令 。 当 前 网 上 的 数据 绝 大 多 数 是 以 明文 形式 传输 
的 ,而 且 口 令 通常 都 很 短 且 容易 辨认 。 当 口令 被 截获 , 则 可 以 非常 容易 地 登 上 另 一 台 主 机 。 


4.5.1 网 络 监听 原理 


以 太 网 是 现在 应 用 最 广泛 的 计算 机 联网 方式 。 以 太 网 协议 的 工作 方式 是 : 将 要 发 送 的 
数据 包 发 往 连 接 在 一 起 的 所 有 主机 ,数据 包 中 包含 着 应 该 接收 数据 包 的 主机 的 正确 地 址 。 
因此 ,只 有 与 数据 包 中 目标 地 址 一 致 的 那 台 主机 才能 接收 数据 包 。 但 是 ,当主 机 工作 在 监听 
模式 下 ,无 论 数据 包 中 的 目标 地 址 是 什么 ,主机 都 将 接收 。 

在 Internet 上 ,有 许多 这 样 的 局 域 网 , 几 台 甚至 几 十 台 主 机 通过 一 条 电缆 ,一 个 集线器 
连 在 一 起 。 在 协议 的 高 层 看 来 , 当 同 一 网 络 中 的 两 台 主 机 通信 时 , 源 主机 将 写 有 目标 主机 
IP 地 址 的 数据 包 直 接 发 向 目标 主机 ,或 者 当 网 络 中 的 一 台 主 机 同 外 界 的 主机 通信 时 , 源 主 
机 将 写 有 目标 主机 IP 地 址 的 数据 包 发 向 网 关 。 要 发 送 的 数据 包 必须 从 TCP/IP 协议 的 IP 
层 交 给 网 络 接口 , 即 数据 链 路 层 。 网 络 接口 不 能 识别 IP 地 址 ,在 网 络 接口 部 分 ,由 IP 层 来 
的 带 有 IP 地 址 的 数据 包 又 增加 了 一 部 分 信息 : 以 太 帧 的 帧 头 。 在 帧 头 中 ,有 两 个 域 分 别 为 
只 有 网 络 接 口才 能 识别 的 源 主机 和 目的 主机 的 物理 地 址 (MAC 地 址 ) ,这 是 一 个 48 位 的 地 址 。 
这 个 48 位 的 地 址 是 与 地 址 对 应 的 ,也 就 是 说 ,一 个 地 址 ,必然 对 应 一 个 物理 站 址 。 

在 以 太 网 中 ,填写 了 物理 地 址 的 帧 从 网 络 接口 中 ,也 就 是 从 网 卡 中 发 送出 去 ,传送 到 物 
理 线路 上 ,如 果 局 域 网 是 由 一 条 粗 缆 或 细 缆 连接 而 成 的 , 则 数字 信和 号 在 电缆 上 传输 ,信号 能 
够 到 达 线 路 上 的 每 一 台 主 机 。 当 使 用 集线器 时 ,发 送出 去 的 信号 到 达 集 线 器 ,由 集线器 青 发 
往 连 接 在 集线器 上 的 每 一 条 线路 。 于 是 ,在 物理 线路 上 传输 的 数字 信号 也 能 到 达 连 接 在 集 
线 器 上 的 每 一 主机 。 

数字 信号 到 达 一 台 主 机 的 网 络 接口 时 ,在 正常 情况 下 .网 卡 读 入 数据 帧 ,进行 检查 ,如 果 
数据 帧 中 携带 的 物理 地 址 是 自己 的 ,或 者 物理 地 址 是 广播 地 址 , 则 将 数据 帧 交 给 上 层 协议 软 
件 , 也 就 是 IP 层 软件 ,否则 就 将 这 个 帧 丢弃 。 对 于 每 一 个 到 达 网 络 接口 的 数据 帧 ,都 要 进行 这 
个 过 程 。 然 而 ,当主 机 工作 在 监听 模式 下 , 则 所 有 的 数据 帧 都 将 被 交 给 上 层 协议 软件 处 理 。 

要 使 主机 工作 在 监听 模式 下 ,需要 向 网 络 接口 (网 卡 ) 发 送 控制 命令 ,将 其 设置 为 监听 模 
式 。 在 UNIX 系统 中 ,发 送 这 些 命令 需要 超级 用 户 的 权限 。 这 一 点 限制 了 在 UNIX 系统 
中 ,普通 用 户 是 不 能 进行 网 络 监听 的 ,只 有 获得 超级 用 户 权 限 ,才能 进行 网 络 监听 。 但 是 在 
Windows 系统 中 , 则 没有 这 个 限制 。 

嗅 探 器 之 所 以 能 发 挥 作用 ,主要 是 由 局 域 网 的 特殊 工作 方式 决定 的 。 在 局 域 网 内 少 不 
了 和 集线器、 网 卡 这 样 的 网 络 设备 ,计算 机 通过 这 些 设备 进行 通信 时 ,采用 的 是 广播 方式 ,即将 
需要 发 送 的 信息 发 给 局 域 网 内 的 每 一 台 计 算 机 。 当 网 卡 接收 到 数据 后 首先 会 判断 接收 到 的 
数据 是 否 是 发 送 给 自己 的 ,如 果 是 则 对 其 进行 处 理 , 如 果 不 是 , 则 置之不理 ,就 当 什 么 也 没有 
发 生 一 样 。 嗅 探 器 把 经 过 当前 计算 机 的 所 有 数据 全 部 接收 下 来 ,然后 根据 关键 字 , 比 如 “ 账 
号 ”“ 密 码 ” 等 敏感 词汇 进行 筛选 , 找 出 有 价值 的 信息 。 

目前 的 绝 大 多 数 计算 机 网 络 使 用 共享 的 通信 信道 ,通信 信道 的 共享 意味 着 计算 机 有 可 
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能 接收 发 向 另 一 台 计算 机 的 信息 。 另 外 Internet 中 使 用 的 大 部 分 协议 都 是 很 早 设计 的 , 许 
多 协议 的 实现 都 基于 一 种 非常 友好 的 、 通 信 的 双方 充分 信任 的 基础 之 上 ,因此 网 络 安 全 是 非 
常 脆弱 的 。 在 通常 的 网 络 环境 下 ,用 户 的 所 有 信息 ,包括 用 户 名 和 口令 信息 都 是 以 明文 方式 
在 网 上 传输 的 。 因 此 ,黑客 和 网 络 攻 击 者 进行 网 络 监 听 , 获 得 用 户 的 各 种 信息 并 不 是 一 件 很 
困难 的 事 , 只 要 具有 初步 的 网 络 和 TCP/IP 协议 知识 , 便 能 轻易 地 从 监听 到 的 信息 中 提取 出 
感 兴趣 的 部 分 。 


4.5.2 ”监听 工具 “ 艾 菲 ”网 页 侦探 


监听 工具 可 以 是 硬件 ,也 可 以 是 软件 。 就 目前 而 言 ,品种 最 多 、 应 用 最 广泛 的 还 是 软件 ， 
绝 大 多 数 管理 员 和 黑客 使 用 的 也 是 软件 类 嗅 探 器 。 

Sniffer 程序 不 计 其 数 , 主 要 分 为 基于 UNIX 系统 和 Windows 系统 两 大 类 。 下 面 以 * 艾 
菲 ? 网 页 侦探 为 例 ,说 明 其 用 于 监听 局 域 网 上 传输 的 HTTP 数据 的 过 程 。 

【 例 4-8〗】“ 艾 菲 ? 网 页 侦探 。 

(1) 运行 EffeTech HTTP Sniffer, 程 序 界 面 如 图 4-89 所 示 。 


Ww HttpDetect (EffeTech HTTP Sniffer) - Unregistered Yersion 同 回 加 
il。 Vie Sniffer Jelp 
[EI 


Client (IP: PORT) 


< | 国 


HTTP Response Header 


[Buffer: 0% lVRLs: 0 Packets: 0 
图 4-89 “ 艾 菲 "网络 侦 探 程 序 界面 


(2) 执行 Sniffer| Select an adapter 命令 ,出 现 如 图 4-90 


所 示 的 对 话 框 。 Select a Network 4dapter [区 | 
(3) 选择 本 机 使 用 的 网 络 适配器 后 , 单 击 OK 按钮 结束 | cmentAdaper 
设置 NDevce\WPF_(D2138EA7.B70F-417A.8640 


(4) 设置 嗅 探 参数 ,主要 是 指定 针对 哪些 计算 机 发 送 或 
者 接收 的 数据 进行 捕捉 ,以 及 捕 提 什么 样 的 数据 ,以 避免 无 关 
数据 的 干扰 。 执 行 Sniffer| Filter, 出 现 图 4-91。 

(5) 在 General 中 定义 容纳 嗅 探 数据 的 缓冲 区 大 小 ,如 果 
要 监听 的 网 络 中 通信 繁忙 ,这 个 值 要 大 些 ; 在 Content 中 选 
择 被 监视 的 文件 类 型 ,最 常用 的 是 静态 Web 页 面 和 图 片 , 用 
来 监视 别人 浏览 了 哪些 网 页 ,其 次 是 其 他 文件 ,用 来 监视 别人 “图 4-90 选择 网 络 适配器 
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Specily buffer size to store captured packets [>5MB. 10 习 MB 
<50MB ] 


B0 is default HTTP port. Specity addiional ports [separated 
by space} e9: 8080 8000 


|S Show host name rather than |P if possible [Defaul 


Some web pages of fles are not your snifing target- 
Check what you need 


Wy Static web pages (/, heml, htm, wl 
WS Images [ipg, jpeg .91) 


区 Any other lles [cgi php, sp. css, zp, etc ) 


Which host is your sniffing target? Any or a specific host. 

他 Any hosts no matter hei location [Defaul] 

C Specily ahostIP | en se 天 
Specily the role of the host cient or host? 


@ Aso chert only sniff HT 
efaul 


rc 


图 4-91 设置 嗅 探 参数 
下 载 了 哪些 文件 ; Host 中 设置 主机 的 范围 ,如 果 有 明确 的 监听 目标 ,应 当选 择 Specify a 
host IP 并 输入 它 的 IP 地 址 。 
(6) 执行 Sniffer| Start 开始 监听 ,很 快 就 可 以 看 到 主 界面 中 列 出 监听 到 的 数据 项 目 。 
每 一 个 条 目 代表 一 个 数据 包 ,数据 包 中 包含 图 片 .文本 等 ,如 图 4-92 所 示 。 


Ele Yew Sniffer Help 
| “IWS|K|D|O ?| 


Jsearch?clort=navclent-atoenooged 
limages/download._ blue.oif 
jimagesjstyle,css 


jdownloadjApsSetup,exe 
jdownloadiApsSetup, exe 
ldownloadiApsSetup, exe 
ldownloadiApsSetup, exe 


ul 09, 11:44:52 192.168.1.2 :1265 


图 4-92 监听 到 的 数据 项 目 


(7) 在 数据 包 中 随便 找 一 个 条 目 并 双击 鼠标 ,弹出 一 个 对 话 框 ,显示 该 数据 包 的 详细 信 
息 , 如 图 4-93 所 示 。 


(8) 打开 Content 选项 卡 ,出 现 如 图 4-94 所 示 的 对 话 框 ,这 正 是 对 方 用 户 正 在 浏览 的 
面 。 


半 
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图 4-93 数据 包 的 详细 信息 


图 4-94 对方 用 户 正 在 浏览 的 页 面 


4.5.3 网 络 监听 的 监测 和 防范 


网 络 监 听 是 很 难 被 发 现 的 。 运 行 网 络 监听 的 主机 只 是 被 动 地 接收 在 局 域 网 上 传输 的 信 
息 , 并 没有 主动 的 行动 , 既 不 会 与 其 他 主机 交换 信息 ,也 不 能 修改 在 网 上 传输 的 信号 。 这 一 
切 决定 了 对 网 络 监听 的 监测 是 非常 困难 的 。 

当 系统 运行 网 络 监听 软件 时 ,系统 因为 负荷 过 重 , 因 此 对 外 界 的 响应 很 慢 。 但 也 不 能 因 
为 一 个 系统 响应 过 慢 而 确定 其 正在 运行 网 络 监听 软件 。 

1. 网 络 监听 的 监测 

以 下 是 在 Windows 系统 下 监听 程序 的 检测 方法 : 

(1) 由 于 Sniffer 程序 运行 时 占用 大 量 资源 ,使 系统 对 外 界 响 应 变 慢 , 使 网 络 掉 包 率 比 
较 高 。 如 果 有 人 在 监听 , 则 发 送出 去 的 数据 包 不 可 能 每 次 都 全 部 很 流畅 地 到 达 目 的 地 。 通 
过 一 些 网 络 软件 ,可 以 看 到 网 络 上 数据 包 的 传送 情况 。 例 如 使 用 最 简单 的 ping 命令 就 能 看 
到 数据 包 技 失 了 多 少 。 
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(2) Sniffer 程序 运行 时 要 处 理 的 数据 量 很 大 ,需要 占用 大 量 的 带宽 。 使 用 某 些 带宽 控 
制 器 可 以 看 到 当前 带宽 的 分 布 情 况 。 如 果 某 台 主 机 长 时 间 占 用 较 大 的 带宽 ,那么 它 就 有 可 
能 在 监听 。 

(3) 对 于 怀疑 运行 监听 程序 的 机 器 ,用 正确 的 IP 地 址 和 错误 的 物理 地 址 去 ping 它 , 运 
行 了 监听 程序 的 机 器 会 有 响应 。 这 是 因为 正常 的 机 器 不 接收 错误 的 物理 地 址 ,而 处 于 监听 
状态 的 机 器 能 接收 ,所 以 就 会 响应 。 

(4) 往 网 上 发 大 量 不 存在 的 物理 地 址 的 数据 包 , 由 于 监听 程序 要 处 理 这 些 数据 包 , 将 导 
致 性 能 下 降 。 通 过 比较 该 机 器 前 后 性 能 加 以 判断 。 

(5) 入 侵 者 很 可 能 使 用 的 是 一 个 免费 的 监听 软件 。 在 这 种 情况 下 ,管理 员 就 可 以 检查 
目录 , 找 出 监听 程序 ,但 这 很 困难 而 且 很 费时 间 。 另 外 ,如 果 监 听 程 序 被 换 成 另 一 个 名 字 , 管 
理 员 也 不 可 能 找到 这 个 监听 程序 。 

最 好 的 方法 是 利用 第 三 方 检查 工具 ,如 专业 的 反 监 听 工 具 Anti-Sniffer 和 一 些 免费 工 
具 , 如 CheckSniff、ARPKiller 等 。 

2. 防范 网 络 监听 

防范 网 络 监 听 的 方法 包括 进行 合理 的 网 络 分 段 .使 用 交换 式 集线器 、 对 敏感 数据 进行 加 
密 、 采 用 VLAN 技术 等 。 

网 络 分 段 被 认为 是 控制 网 络 广播 风暴 的 一 种 基本 手段 ,其 实 它 也 是 保证 网 络 安全 的 一 
项 措施 。 它 的 目的 是 将 非法 用 户 和 敏感 的 网 络 资源 相互 隔离 ,从 而 防止 可 能 的 非法 监听 。 
分 段 时 尽量 使 相互 信任 的 机 器 属于 同一 个 网 段 , 使 它们 之 间 不 必 担 心 Sniffer 的 存在 ,并 在 
各 个 网 段 之 间 进 行 硬 件 屏 蔽 。 

当 两 台 机 器 之 间 通 过 共享 式 集线器 进行 数据 通信 时 ,两 台 机 器 之 间 的 数据 包 ( 单 播 包 ) 
还 会 被 同一 台 集 线 器 上 的 其 他 用 户 所 监听 。 因 此 ,以 交换 式 集线器 代替 共享 式 集线器 ,使 单 
播 包 仅 在 两 个 节点 之 间 传 送 , 从 而 防止 非法 监听 。 

对 于 一 些 敏 感 的 数据 ,如 用 户 的 ID 和 口令 等 ,可 以 先 加 密 数 据 后 再 进行 传输 ,有 专门 针 
对 这 种 应 用 的 协议 ,如 SSH(Secure Shell) 。 这 样 ,监听 者 得 到 的 是 乱码 ,使 监听 工具 失去 
作用 。 


4.6 拒绝 服务 攻击 


破坏 一 个 网 络 或 系统 的 运作 往往 比 真 正 取得 它们 的 访问 权限 容易 得 多 ,现在 不 断 出 现 
的 具有 强 破坏 性 的 种 种 拒绝 服务 (Denial of Service, DoS) 攻 击 就 说 明了 这 一 点 。 拒 绝 服务 
攻击 是 黑客 常用 的 攻击 方法 ,拒绝 服务 攻击 最 主要 的 目的 是 造成 被 攻击 服务 器 资源 耗 尽 或 
系统 崩溃 而 无 法 提供 服务 。 这 样 的 入 侵 对 于 服务 器 来 说 可 能 并 不 会 造成 损害 ,但 可 以 造成 
人 们 对 被 攻击 服务 器 所 提供 服务 的 信任 度 下 降 ,影响 公司 的 声誉 以 及 用 户 对 网 络 服务 的 使 
用 。 这 类 攻击 主要 是 利用 网 络 协议 的 一 些 薄 弱 环节 ,通过 发 送 大 量 无 效 请 求 数据 包 造 成 服 
务 器 进程 无 法 短期 释放 ,大 量 积累 耗 尽 系统 资源 ,使 得 服务 器 无 法 对 正常 的 请 求 进 行 响应 ， 
造成 服务 的 瘫痪 。 

像 TCP/IP 之 类 的 网 络 互联 协议 是 按照 在 开放 和 彼此 信任 的 群体 中 使 用 来 设计 的 ,在 
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当前 的 现实 环境 中 却 表现 出 内 在 的 缺陷 。 用 户 通过 普通 的 网 络 连 线 , 传 送信 息 要 求 服务 器 
予以 确定 ,服务 器 经 确认 后 回复 用 户 , 用 户 被 确认 后 ,就 可 以 登入 服务 器 。“ 拒 绝 服 务 " 的 攻 
击 方式 就 是 利用 了 服务 器 在 回复 过 程 中 存在 的 资源 占用 缺陷 ,攻击 者 将 众多 要 求 确认 的 信 
息 传送 到 服务 器 ,使 服务 器 里 充斥 着 各 种 无 用 的 信息 ,所 有 的 信息 都 有 需要 回复 的 虚假 地 
址 ,以 至 于 当 服 务 器 试图 回 传 时 , 却 无 法 找到 用 户 。 根 据 协议 的 规定 ,服务 器 相关 进程 会 进 
行 暂时 的 等 候 , 有 时 超过 一 分 钟 , 之 后 才 进 行进 程 资 源 的 释放 。 由 于 攻击 者 不 断 地 发 送 这 种 
虚假 的 连接 请 求 信 息 , 当 进入 等 待 释放 的 进程 增加 速度 远大 于 系统 释放 进程 的 速度 时 ,就 会 
造成 服务 器 中 待 释放 的 进程 不 断 积 累 , 最 终 造成 资源 的 耗 尽 而 导致 服务 器 瘫痪 。 

DoS 攻击 威胁 了 大 范围 的 网 络 服务 , 它 不 仅 造成 了 服务 的 中 断 ,部 分 攻击 还 会 造成 系统 
的 完全 骨 溃 甚至 设备 的 损毁 。 拒 绝 服务 攻击 由 于 不 是 使 用 什么 漏洞 实现 的 ,目前 还 没有 很 
好 的 解决 方案 ,因此 也 就 被 恶意 的 入侵 者 大 量 地 使 用 ,是 目前 最 具有 危险 性 的 攻击 。 


4.6.1 DoS 攻击 类 型 


DoS 攻击 从 攻击 目的 和 手段 上 主要 分 为 以 下 一 些 类 型 ,它们 以 不 同 的 方式 对 目标 网 络 
造成 破坏 。 

1. 带宽 耗 用 DoS 攻击 

带宽 耗 用 DoS 攻击 的 本 质 就 是 攻击 者 消耗 掉 某 个 网 络 的 所 有 可 用 的 带宽 。 为 了 达到 
这 一 目的 ,一 种 方法 是 攻击 者 通过 使 用 更 多 的 带宽 造成 受害 网 络 的 拥塞 ,对 于 拥有 100Mb/s 
带宽 网 络 的 攻击 者 来 说 ,对 于 Tl 连接 的 站 点 进行 攻击 可 以 完全 填塞 目标 站 点 的 网 络 链 路 。 
另 一 种 方法 是 攻击 者 通过 征用 多 个 站 点 集中 拥塞 受害 者 的 网 络 连接 来 放大 DoS 攻击 效果 ， 
这 样 带宽 受 限 的 攻击 者 就 能 够 轻易 地 汇集 相当 高 的 带宽 ,成 功 地 实现 对 目标 站 点 的 完全 
堵塞 。 

2. 资源 衰竭 DoS 攻击 

资源 衰竭 攻击 与 带宽 耗 用 攻击 的 差异 在 于 前 者 集中 于 系统 资源 而 不 是 网 络 资源 的 消 
耗 。 一 般 来 说 , 它 涉及 诸如 CPU 利用 率 、 内 存 、 文 件 系 统 和 系统 进程 总 数 之 类 系统 资源 的 
消耗 。 攻 击 者 往往 拥有 一 定数 量 系统 资源 的 合法 访问 权 。 之 后 ,攻击 者 会 滥用 这 种 访问 权 
消耗 额外 的 资源 ,这 样 ,系统 或 合法 用 户 被 剥夺 了 原来 享有 的 资源 ,造成 系统 崩 江 或 可 利用 

3. 编程 缺陷 DoS 攻击 

编程 缺陷 攻击 就 是 利用 应 用 程序 、 操 作 系统 等 在 处 理 异 常 条 件 时 的 逻辑 错误 实施 的 
DoS 攻击 。 攻 击 者 不 需要 发 送 大 量 的 数据 包 来 进行 攻击 ,而 是 通过 向 目标 系统 发 送 精心 设 
计 的 畸形 分 组 来 导致 服务 的 失效 和 系统 的 崩 江 。 

4. 基于 路 由 的 DoS 攻击 


在 基于 路 由 的 DoS 攻击 中 ,攻击 者 操纵 路 由 表 项 以 拒绝 向 合法 系统 或 网 络 提 供 服 务 。 
诸如 路 由 信息 协议 和 边界 网 关 协 议 之 类 较 早 版 本 的 路 由 协议 没有 或 只 有 很 弱 的 认证 机 制 ， 
这 就 给 攻击 者 变换 合法 路 径 提 供 了 良好 的 前 提 , 往 往 通过 假冒 源 IP 地 址 就 能 创建 DoS 攻 
击 。 这 种 攻击 的 后 果 是 受害 网 络 的 分 组 或 者 经 由 攻击 者 的 网 络 路 由 ,或 者 被 路 由 到 不 存在 
的 黑洞 网 络 上 。 
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5. 基于 DNS 的 DoS 攻击 

递归 功能 允许 DNS 服务 器 处 理 不 是 自己 所 服务 区 域 的 解析 请 求 , 当 某 个 DNS 服务 器 
接收 到 一 个 不 是 自己 所 服务 区 域 的 查询 请 求 时 , 它 将 把 该 请 求 间 接 传送 给 所 请 求 区 域 的 权 
威 性 DNS 服务 器 。 从 这 个 权威 性 服务 器 接收 到 响应 后 ,最 初 的 DNS 服务 器 再 把 该 响应 发 
回 给 请 求 方 。 攻 击 者 利用 DNS 递归 的 功能 ,产生 虚假 的 高 速 缓 存 DNS 信息 ,通过 将 主机 名 
称 映 射 到 其 他 的 IP 地 址 或 不 存在 的 IP 地 址 上 ,用 户 就 无 法 正确 地 获得 需要 的 服务 ,达到 拒 
绝 服务 的 目的 。 
4.6.2 DoS 攻击 手段 

DoS 攻击 主要 有 以 下 攻击 手段 。 

1. 邮件 炸弹 

邮件 炸弹 是 一 种 最 简单 的 DoS 攻击 , 它 通过 短 时 间 内 向 某 个 用 户 发 送 大 量 的 电子 邮 
件 , 从 而 消耗 硬盘 空间 ,阻塞 网 络 带 宽 。 

2. SYN 洪 泛 

SYN Flood 攻击 是 最 为 经 典 的 拒绝 服务 攻击 , 它 利 用 了 TCP 协议 实现 上 的 一 个 缺陷 ， 
通过 向 网 络 服务 所 在 端口 发 送 大 量 的 伪造 源 地 址 的 攻击 报 文 ,就 可 能 造成 目标 服务 器 中 的 
半 开 连接 队列 被 占 满 , 从 而 阻止 其 他 合法 用 户 进行 访问 。 这 种 攻击 早 在 1996 年 就 被 发 现 ， 
但 至 今 仍然 显示 出 强大 的 生命 力 。 很 多 操作 系统 ,甚至 防火 墙 \ 路 由 器 都 无 法 有 效 地 防御 这 
种 攻击 ,而 且 由 于 它 可 以 方便 地 伪造 源 地 址 ,追查 起 来 非常 困难 。 它 的 数据 包 特 征 通常 是 ， 
源 发 送 了 大 量 的 SYN 包 , 并 且 缺 少 三 次 握手 的 最 后 一 步 握手 ACK 回复 。 

攻击 者 首先 伪造 地 址 对 服务 器 发 起 SYN 请 求 ,服务 器 就 会 回应 一 个 ACK 十 SYN。 而 
真实 的 IP 会 认为 ,没有 发 送 请 求 ,不 作 回 应 。 服 务 器 没有 收 到 回应 ,会 重 试 3 一 5 次 并 且 等 
待 一 个 SYN Time( 一 般 30s 一 2min) 后 ,丢弃 这 个 连接 。 

如 果 攻 击 者 大 量 发 送 这 种 伪造 源 地 址 的 SYN 请 求 ,服务 器 端 将 会 消耗 非常 多 的 资源 
来 处 理 这 种 半 连 接 , 保 存 遍历 会 消耗 非常 多 的 CPU 时 间 和 内 存 , 何 况 还 要 不 断 对 这 个 列表 
中 的 IP 进行 SYN 十 ACK 的 重 试 。 最 后 的 结果 是 服务 器 无 暇 响应 正常 的 连接 请 求 一 一 拒绝 
服务 。 在 服务 器 上 用 netstat -an 命令 查看 SYN_RECYV 状态 的 话 , 就 可 以 看 到 如 图 4-95 所 示 
的 情况 。 


196.13:139 95:12295 SYN_RECEIUED 
19.13:139 95:43613 SYN_RECEIUED 
19.13:139 .1.95:45626 SYN_RECEIUED 
19.13:139 95:51567 SYN_RECEIUED 
19.13:139 96:16653 SYN_RECEIUED 
16.13:139 .1.96:24637 SYN_RECEIUED 


18.13:139 96:46674 SYN_RECEIUED 
.19.13:139 96:53784 SYN_RECEIUED 
190.13:139 .1.96:63246 SYN_RECEIUED 
10.13:139 97:17252 SYN_RECEIUED 
19.13:133 97:19265 SYN_RECEIUED 


图 4-95 ”SYN 洪 泛 攻击 


这 种 攻击 非常 具有 破坏 性 ,首先 引发 SYN 洪 泛 只 需要 很 小 的 带宽 ; 其 次 ,由 于 攻击 者 
对 SYN 分 组 的 源 地 址 进行 伪装 ,从 而 使 得 SYN 洪 泛 成 了 隐蔽 的 攻击 ,查找 发 起 者 变 得 非 
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常 困难 。 

3. ACK 洪 泛 

ACK Flood 攻击 是 在 TCP 连接 建立 之 后 ,所 有 的 数据 传输 TCP 报 文 都 是 带 有 ACK 
标志 位 的 ,主机 在 接收 到 一 个 带 有 ACK 标志 位 的 数据 包 的 时 候 ,需要 检查 该 数据 包 是 否 存 
在 。 如 果 存 在 则 检查 该 数据 包 所 表示 的 状态 是 否 合法 ,然后 再 向 应 用 层 传递 该 数据 包 ; 如 
果 在 检查 中 发 现 该 数据 包 不 合法 ,例如 该 数据 包 所 指向 的 目的 端口 在 本 机 并 未 开放 , 则 主机 
操作 系统 协议 栈 会 回应 RST 包 , 告 诉 对 方 此 端口 不 存在 。 

这 里 ,服务 器 要 做 两 个 动作 : 查 表 、 回 应 ACK/RST。 这 种 攻击 方式 显然 没有 SYN 
Flood 给 服务 器 带 来 的 冲击 大 ,因此 攻击 者 一 定 要 用 大 流量 ACK 小 包 冲 击 才 会 对 服务 器 造 
成 影响 。 按 照 TCP 协议 ,随机 源 IP 的 ACK 小 包 应 该 会 被 Server 很 快 丢弃 ,因为 在 服务 器 
的 TCP 堆栈 中 没有 这 些 ACK 包 的 状态 信息 。 但 是 实际 上 通过 测试 ,发 现 有 一 些 TCP 服务 
会 对 ACK Flood 比较 敏感 ,比如 说 JSP Server, 在 数量 并 不 多 的 ACK 小 包 的 打击 下 ,JSP 
Server 就 很 难处 理 正常 的 连接 请 求 。 对 于 Apache 或 者 IIS 来 说 ,10kb/s 的 ACK Flood 不 
构成 威胁 ,但 是 更 高 数量 的 ACK Flood 会 造成 服务 器 网 卡 中 断 频率 过 高 ,负载 过 重 而 停止 
响应 。 可 以 肯定 的 是 ,ACK Flood 不 但 可 以 危害 路 由 器 等 网 络 设备 ,而 且 对 服务 器 上 的 应 
用 有 不 小 的 影响 。 

4. UDP 洪 泛 

常见 的 UDP Flood 利用 大 量 UDP 小 包 冲 击 DNS 服务 器 或 Radius 认证 服务 器 、 流 媒 
体 视 频 服务 器 。100kb/s 的 UDP Flood 经 常 将 线路 上 的 骨干 设备 例如 防火 墙 打 竣 , 造 成 整 
个 网 段 的 次 疯 。 由 于 UDP 协议 是 一 种 无 连接 的 服务 ,在 UDP Flood 攻击 中 ,攻击 者 可 发 送 
大 量 伪造 源 IP 地 址 的 小 UDP 包 。 但 是 ,由 于 UDP 协议 是 无 连接 性 的 ,所 以 只 要 开 了 一 个 
UDP 的 端口 提供 相关 服务 的 话 ,那么 就 可 针对 相关 的 服务 进行 攻击 。 

5.Connection 洪 泛 


Connection Flood 是 典型 的 ,非常 有 效 地 利用 小 流量 冲击 大 带宽 网 络 服务 的 攻击 方式 ， 
其 原理 是 利用 真实 的 IP 地 址 向 服务 器 发 起 大 量 的 连接 ,并 且 建 立 连 接 之 后 很 长 时 间 不 释 
放 , 占 用 服务 器 的 资源 ,造成 服务 器 上 残余 连接 (WAIT 状态 ) 过 多 ,效率 降低 ,甚至 资源 耗 
尽 ,无 法 响应 其 他 客户 所 发 起 的 连接 。 

其 中 一 种 攻击 方法 是 每 秒 钟 向 服务 器 发 起 大 量 的 连接 请 求 ,这 类 似 于 固定 源 IP 的 
SYN Flood 攻击 ,不 同 的 是 采用 了 真实 的 源 IP 地 址 。 通 常 这 可 以 在 防火 墙 上 限制 每 个 源 
IP 地 址 每 秒 钟 的 连接 数 来 达到 防护 目的 。 但 现在 已 有 工具 采用 慢 速 连接 的 方式 ,也 即 几 秒 
钟 才 和 服务 器 建立 一 个 连接 ,连接 建立 成 功 之 后 并 不 释放 并 定时 发 送 垃 圾 数据 包 给 服务 器 
使 连接 得 以 长 时 间 保 持 。 这 样 一 个 IP 地 址 就 可 以 和 服务 器 建立 成 百 上 千 的 连接 ,而 服务 器 
可 以 承受 的 连接 数 是 有 限 的 ,这 就 达到 了 拒绝 服务 的 效果 。 

在 受 攻击 的 服务 器 上 使 用 netstat -an, 就 可 以 看 到 来 自 少 数 几 个 源 的 大 量 连接 状态 ,如 
图 4-96 所 示 。 

如 果 统 计 的 话 , 可 以 看 到 连接 数 对 比 平时 出 现 异常 。 并 且 增 长 到 某 一 值 之 后 开始 波动 ， 
说 明 此 时 可 能 已 经 接近 性 能 极限 。 因 此 ,对 这 种 攻击 的 判断 : 在 流量 上 体现 并 不 大 ,甚至 可 
能 会 很 小 ; 大 量 的 ESTABLISH 状态 ; 新 建 的 ESTABLISH 状态 总 数 有 波动 。 
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图 4-96 ”Connection 洪 泛 攻击 


6. Smurf 攻击 

Smurf 攻击 是 一 种 简单 有 效 的 DoS 攻击 , 它 利用 ICMP 和 广播 地 址 实现 。 该 攻击 向 一 
个 子 网 的 广播 地 址 发 一 个 带 有 特定 请 求 (如 ICMP 回应 请 求 ) 的 包 , 并 且 将 源 地 址 伪装 成 想 
要 攻击 的 主机 地 址 。 子 网 上 所 有 主机 都 回应 广播 包 请 求 而 向 被 攻击 主机 发 包 , 使 该 主机 受 
到 攻击 。 如 向 一 个 网 络 上 的 多 个 系统 发 送 定向 广播 的 ping 请 求 (ping 使 用 了 ICMP 协议 )， 
这 些 系 统 接着 对 请 求 做 出 响应 ,造成 了 攻击 数据 的 放大 。Smurf 攻击 通常 需要 至 少 三 个 角色 : 
攻击 者 、 放 大 网 络 和 受害 者 。 攻 击 者 向 放大 网 络 的 广播 地 址 发 送 源 地 址 ,伪造 成 受害 者 系统 的 
ICMP 回 射 请 求 分 组 。 放 大 网 络 中 的 各 个 主机 相继 向 受害 者 系统 发 出 响应 。 如 果 攻 击 者 给 一 
个 拥有 100 个 会 对 广播 ping 请 求 做 出 响应 的 系统 的 放大 网 络 发 出 ICMP 分 组 , 它 的 DoS 攻击 
效果 就 放大 了 100 倍 。 这 样 ,大 量 的 ICMP 分 组 发 送 给 受害 者 系统 ,造成 网 络 带宽 的 耗 尽 。 

7. HTTP Get 攻击 

HTTP Get 攻击 主要 是 针对 存在 ASP、JSP、PHP、CGI 等 脚本 程序 ,并 调用 MySQL 
Server、Oracle 等 数据 库 的 网 站 系统 而 设计 的 ,特征 是 和 服务 器 建立 正常 的 TCP 连接 ,并 不 
断 地 向 脚本 程序 提交 查询 、 列 表 等 大 量 耗费 数据 库 资 源 的 调用 ,典型 的 以 小 搏 大 的 攻击 
方法 。 

- 般 来 说 ,提交 一 个 GET 或 POST 指令 对 客户 端的 耗费 和 带宽 的 占用 是 几乎 可 以 忽 
略 的 ,而 服务 器 为 处 理 此 请 求 却 可 能 要 从 上 万 条 记录 中 去 查 出 某 个 记录 ,这 种 处 理 过 程 对 资 
源 的 耗费 是 很 大 的 。 常 见 的 数据 库 服务 器 很 少 能 支持 数 百 个 查询 指令 同时 执行 ,而 这 对 于 
客户 端 来 说 却 是 轻而易举 的 。 因 此 攻击 者 只 需 通过 Proxy 代理 向 主机 服务 器 大 量 递交 查询 
指令 ,只 需 数 分 钟 就 会 把 服务 器 资源 消耗 掉 而 导致 拒绝 服务 ,常见 的 现象 就 是 网 站 慢 如 蜗 
牛 、.ASP 程序 失效 .PHP 连接 数据 库 失 败 数据库 主 程序 占用 CPU 偏 高 。 

这 种 攻击 的 特点 是 可 以 完全 绕 过 普通 的 防火 墙 防护 ,轻松 找 一 些 Proxy 代理 就 可 实施 
攻击 ; 缺点 是 对 付 只 有 静态 页 面 的 网 站 效果 会 大 打折 扣 , 并 且 有 些 Proxy 会 暴露 攻击 者 的 
IP 地 址 。 

8. UDP DNS Query 泛 洪 攻击 

UDP DNS Query Flood 攻击 实质 上 是 UDP Flood 的 一 种 ,但 是 由 于 DNS 服务 器 的 不 
可 替代 的 关键 作用 ,一 旦 服务 器 瘫痪 .影响 一 般 都 很 大 。 

UDP DNS Query Flood 攻击 采用 的 方法 是 向 被 攻击 的 服务 器 发 送 大 量 的 域名 解析 请 
求 ,通常 请 求解 析 的 域名 是 随机 生成 或 者 是 网 络 世界 上 根本 不 存在 的 域名 ,被 攻击 的 DNS 
服务 器 在 接收 到 域名 解析 请 求 时 ,首先 会 在 服务 器 上 查找 是 否 有 对 应 的 缓存 ,如 果 查 找 不 到 
并 且 该 域名 无 法 直接 由 服务 器 解析 的 时 候 .DNS 服务 器 会 向 其 上 层 DNS 服务 器 递归 查询 
域名 信息 。 域 名 解析 的 过 程 给 服务 器 带 来 了 很 大 的 负载 ,每 秒 钟 域名 解析 请 求 超过 一 定 的 
数量 ,就 会 造成 DNS 服务 器 解析 域名 超时 。 
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根据 微软 的 统计 数据 ,一 台 DNS 服务 器 所 能 承受 的 动态 域名 查询 的 上 限 是 每 秒 钟 
9000 个 请 求 。 而 一 台 PC 上 可 以 轻易 地 构造 出 每 秒 钟 几 万 个 域名 解析 请 求 ,足以 使 一 台 硬 
和 DNS 服务 器 瘫痪 ,由 此 可 见 DNS 服务 器 的 脆弱 性 。 同 时 需要 注意 的 是 ,蠕虫 
扩散 也 会 带 来 大 量 的 域名 解析 请 求 。 

【 例 4-9】 使 用 HGod 实现 拒绝 服务 攻击 的 演示 。 

HGod 是 一 款 命令 行 下 运行 的 程序 ,命令 为 : 

hgod < Target > < StartPort[ - EndPort] |Port1, Port2, Port3...> [Option] 

其 中 二 Target 二 是 要 攻击 的 目标 ,可 以 是 计算 机 名 、 域 名 或 者 IP 地 址 ; 一 StartPort 二 
为 要 攻击 的 目标 端口 ,IGMPVICMP 攻击 可 以 随便 设置 一 个 端口 ,SYN Flood 攻击 可 以 支持 
多 端口 同时 攻击 ; [Option] 为 攻击 参数 选项 。 

(1) 单 击 “开始 ”1“ 运 行 ”, 在 出 现 的 “运行 "对话 框 中 输入 cmd, 单 击 “ 确 定 ” 按 钮 。 

(2) 在 命令 行 窗口 中 输入 hgod 127. 0. 0. 1 80, 按 Enter 键 , 即 对 指定 的 计算 机 进行 
ICMP 攻击 ,如 图 4-97 所 示 。 


4-97 ”使 用 HGod 进行 拒绝 服务 攻击 


(3) 此 时 打开 任务 管理 器 ,发 现 CPU 使 用 记录 猛然 增加 到 100% 。 在 命令 行 窗口 中 按 
下 Ctrl+C 组 合 键 ,终止 攻击 ,可 以 看 到 CPU 使 用 记录 恢复 到 正常 ,如 图 4-98 所 示 。 


号 Windows 任务 管理 器 

文件 EF) 选项 @) 查看 YW) 关机 QW 帮助 00 

[应 用 程序 [进程 【性 蔬 i 联 网 | 用 户 | 
CPV 使 用 CPV 使 用 记录 


了 F 使 用 率 页 面 文件 使 用 记录 


总 数 
句柄 数 总 数 260592 
钱 程 数 94964 
进程 数 131964 
2 用 量 区) 

253964 
名 640716 
峰值 287656 


进程 数 : 了 3。 。 CPV 使 用 : 2% 提交 更 改 : 253964K / 640716 


图 4-98 使 用 HGod 进行 拒绝 服务 攻击 时 CPU 使 用 情况 的 变化 
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4.6.3 DDoS 攻击 


最 基本 的 DoS 攻击 就 是 利用 合理 的 服务 请 求 来 占用 过 多 的 服务 资源 ,从 而 使 合法 用 户 
无 法 得 到 服务 器 的 响应 。 而 分 布 式 拒绝 服务 (Distributed Denial of Services, DDoS) 攻 击 是 
在 传统 的 DoS 攻击 基础 之 上 产生 的 一 类 特殊 形式 的 攻击 方式 。 

单一 的 DoS 攻击 一 般 采 用 一 对 一 的 方式 , 当 攻 击 目标 CPU 速度 低 、 内 存 小 或 者 网 络 带 
宽 小 等 各 项 性 能 指标 不 高 时 ,效果 是 明显 的 。 随 着 计算 机 与 网 络 技术 的 发 展 ,计算 机 的 处 理 
能 力 迅 速 增长 ,内 存 大 大 增加 ,同时 也 出 现 了 千 兆 级 别 的 网 络 , 这 使 得 DoS 攻击 的 困难 程度 
加 大 了 。 这 样 分 布 式 的 拒绝 服务 攻击 就 应 运 而 生 了 ., 它 利用 大 量 的 倪 偶 机 来 发 起 进攻 ,用 比 
从 前 更 大 的 规模 来 进攻 受害 者 。 

DDoS 最 早 可 追溯 到 1996 年 最 初 ,在 中 国 2002 年 开始 频繁 出 现 ,2003 年 已 经 初 具 规 
模 。 近 几 年 由 于 宽带 的 普及 ,很 多 网 站 开始 一 利 , 其 中 很 多 非法 网 站 利润 巨大 ,造成 同行 之 
间 互 相 攻 击 , 还 有 一 部 分 人 利用 网 络 攻击 来 敲诈 钱财 。 同 时 Windows 平台 的 漏洞 大 量 被 公 
布 ,流氓 软件 ,病毒 .木马 充斥 网 络 , 稍 有 技术 的 人 很 容易 非法 入 侵 并 控制 大 量 个 人 计算 机 来 
发 起 DDoS 攻击 从 中 谋 利 。 攻 击 已 经 成 为 互联 网 上 的 一 种 最 直接 的 竞争 方式 ,而 且 收 入 非 
常 高 ,在 利益 的 驱使 下 ,攻击 已 经 演变 成 非常 完善 的 产业 链 。 通 过 在 大 流量 网 站 的 网 页 里 注 
入 病毒 木马 ,可 以 通过 Windows 平台 的 漏洞 感染 浏览 网 站 的 人 ,一 旦 中 了 木马 ,这 人 台 计 算 机 
就 会 被 后 台 操作 的 人 控制 ,这 台 计 算 机 也 就 成 了 所 谓 的 “肉鸡 ”。 每 天 都 有 人 专门 收集 “ 肉 
鸡 ”, 然 后 以 几 毛 到 几 块 一 只 的 价格 出 售 , 因 为 利益 需要 ,攻击 的 人 就 会 购买 ,然后 遥控 这 些 
“肉鸡 ?攻击 服务 器 。 

长 久 以 来 ,DDoS 攻击 一 直 是 威胁 互联 网 安全 的 主要 因素 , 据 绿 盟 科技 2014 年 上 半年 
DDoS 威胁 报告 : 2014 上 半年 政府 网 站 依然 是 DDoS 攻击 最 主要 的 目标 , 占 总 数 的 三 分 之 
一 ,其 次 则 是 针对 商业 公司 的 攻击 。 与 2013 下 半年 相 比 , 政 府 网 站 和 在 线 游 戏 受到 的 攻击 
比例 有 所 下 降 ,而 运营 商 和 商业 公司 则 有 所 上 升 。 与 2013 上 半年 相 比 ,最 明显 的 区 别 是 针 
对 银行 的 DDoS 急剧 减少 ,如 图 4-99 所 示 。 

DDos 的 工作 原理 如 图 4-100 所 示 ,一 般 来 说 ,黑客 通过 以 下 步骤 进行 DDoS 攻击 。 

1) 搜集 了 解 目 标的 情况 

搜集 的 对 象 包括 被 攻击 目标 主机 数目 .地 址 情况 ,目标 主机 的 配置 .性 能 ,目标 的 带 
宽 等 。 

对 于 DDoS 攻击 者 来 说 ,攻击 互联 网 上 的 某 个 站 点 的 重点 就 是 确定 到 底 有 多 少 台 主 机 
在 支持 这 个 站 点 ,一 个 大 的 网 站 可 能 有 很 多 台 主 机 利用 负载 均衡 技术 提供 同一 个 网 站 的 
WWW 服务 。 如 果 要 进行 DDoS 攻击 的 话 ,要 所 有 这 些 主机 都 竣 掉 才 行 。 在 实际 应 用 中 ， 
一 个 IP 地 址 往往 还 代表 着 数 台 机 器 : 网 站 维护 者 使 用 了 四 层 或 七 层 交 换 机 来 做 负载 均衡 ， 
把 对 一 个 IP 地 址 的 访问 以 特定 的 算法 分 配 到 下 属 的 每 个 主机 上 去 。 这 对 于 DDoS 攻击 者 
来 说 情况 就 更 复杂 了 ,他 面 对 的 任务 可 能 是 让 几 十 台 主 机 的 服务 都 不 正常 。 所 以 ,事先 搜集 
情报 对 DDoS 攻击 者 来 说 是 非常 重要 的 ,这 关系 到 使 用 多 少 台 倪 偶 机 才能 达到 效果 的 问题 。 

2) 占领 倪 偶 机 

黑客 随机 地 或 者 是 有 针对 性 地 利用 扫描 器 去 发 现 互联 网 上 有 漏洞 的 机 器 ,如 程序 溢出 
漏洞 .CGI Unicode、FTP 数据 库 漏 洞 …… 随后 就 是 尝试 入 侵 了 ,占领 了 一 台 倪 偶 机 后 ,他 


224 信息 对 抗 与 网 络 安全 (第 3 版 ) 


> 
名 会 
5 
SR 
ES A 
才 3 8 Ya 
必 驴 
2013H1 2013H2 2014H1 
国政 府 28.9% 49.4% 33.3% 
加 银行 43.3% 6.5% 0.0% 
回 运营 商 1.1% 7.8% 14.6% 
加 商业 公司 21.1% 10.4% 20.8% 
目 非 营利 机 构 4.4% 0.0% 0.0% 
目 在 线 游戏 0.0% 5.2% 8.3% 
日 其 他 1.1% 20.8% | 22.9% 


图 4-99 2004 年 上 半年 DDoS 攻击 分 布 


器 攻击 信 候 机 


攻击 做 仿 机 


控制 做 偶 机 


攻击 做 介 机 


攻击 做 仿 机 


图 4-100 DDoS 攻击 原理 图 
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会 把 DDoS 攻击 用 的 程序 上 载 过 去 。 在 攻击 机 上 ,会 有 一 个 DDoS 的 发 包 程序 ,黑客 利用 它 


向 受害 目标 发 送 恶意 攻击 包 。 
3) 实际 攻击 


经 过 前 两 个 阶段 的 精心 准备 ,黑客 就 开始 瞄准 目标 准备 发 射 了 。 黑 客 登录 到 作为 控制 
台 的 佛 偶 机 ,向 所 有 的 攻击 机 发 出 命令 ,埋伏 在 攻击 机 中 的 DDoS 攻击 程序 就 会 响应 控制 台 
的 命令 ,一 起 向 受害 主机 以 高 速度 发 送 大 量 的 数据 包 , 导 致 它 死机 或 是 无 法 响应 正常 的 


【 例 4-10】 DDoS 攻击 演示 。 


DDoS 攻击 者 是 一 个 DDoS 攻击 工具 ,在 上 网 时 自动 对 事先 设 定 好 的 目标 进行 攻击 。 


软件 分 为 生成 器 (DDoSMaker. exe) 与 DDoS 
攻击 者 程序 (DDoSer. exe) 两 部 分 。 软 件 在 下 载 安 
装 后 只 有 生成 器 DDoSMaker. exe, 没 有 DDoS 攻 
击 者 程序 ,DDoS 攻击 者 程序 要 通过 生成 器 进行 
生成 。 

(1) 运行 生成 器 (DDoSMaker. exe) ,弹出 如 
图 4-101 所 示 的 运行 界面 。 

(2) 在 “目标 主机 的 域名 或 IP 地 址 ”文本 框 中 
输入 要 攻击 主机 的 域名 或 IP 地 址 。 

(3) 在 “端口 "文本 框 中 输入 要 攻击 的 端口 .该 
软件 只 能 攻击 基于 TCP 的 服务 。 端 口中 填写 80 
就 是 攻击 HTTP 服务 ,21 就 是 攻击 FTP 服务 ,25 
就 是 攻击 SMTP 服务 , 110 就 是 攻击 POP3 服 


DDoS 攻击 者 生成 器 v1. 1 


攻击 设置 
目标 主机 的 域名 或 TP 地 址 这) 
hs lssol 


并 发 连接 鳃 程 数 虑 ): [10 个 训 程 
最 大 TCF 连 接 数 仙 ， [1000 ”个 连接 包 

一 自 启动 设置 i 
注册 表 局 动 项 刍 名 区) . srnel52 | 


服务 端 程序 文件 名 玫 ): 到 erne132 exe | 


文件 输出 
ZeS 攻 击 者 程序 保存 为 G) 


avaonnnDoser 浏览 加 


图 4-101 生成 器 界面 


庙 口 四 ): 
:局 


(4)“ 并 发 连接 线程 数 "“ 最 大 TCP 连接 数 ” 的 值 越 大 对 服务 器 的 压力 越 大 ,当然 占用 


本 机 资源 也 越 大 ,一 般 使 用 默认 值 。 


(5)“ 注 册 表 启动 项 键 名 ”是 在 注册 表 里 写 入 的 启动 项 的 键 名 ,“ 服 务 端 程序 文件 名 ”是 
在 Windows 系统 目录 里 的 文件 名 ,当然 是 越 隐蔽 越 好 。 
(6)“DDoS 攻击 者 程序 保存 为 ”中 的 文件 就 是 生成 的 DDoS 攻击 者 程序 ,只 要 运行 了 


DDoS 攻击 者 程序 就 会 立即 开始 攻击 。 


(7) 设置 完成 后 单 击 “ 生 成 ”按钮 ,出 现 图 4-102 所 示 的 确认 对 话 框 。 
(8) 单 击 “ 是 ”按钮 ,完成 DDoS 攻击 者 程序 的 生成 ,出 现 如 图 4-103 所 示 的 对 话 框 。 


生成 DDoS 攻击 者 程序 


oD 你 确定 所 有 配置 均 正确 无 误 吗 ? 


[ED su 


图 4-102 确认 对 话 框 


图 4-103 ”完成 生成 DDoS 攻击 者 程序 


DDoS 攻击 者 程序 类 似 于 木马 软件 的 服务 端 程序 ,程序 运行 后 不 会 显示 任何 界面 ,看 上 
去 好 像 没 有 反应 ,其实 它 已 经 将 自己 复制 到 系统 里 面 了 ,并 且 会 在 每 次 开机 时 自动 运行 。 它 


226 信息 对 抗 与 网 络 安全 (第 3 版 ) 


运行 时 ,唯一 会 做 的 工作 就 是 不 断 地 对 事先 设 定好 的 目标 进行 攻击 。 
4.6.4 DDoS 反射 攻击 

据 绿 盟 科 技 2014 年 上 半年 DDoS 威胁 报告 ,DNS Flood 是 最 主要 的 DDoS 攻击 方式 ， 
占 总 数 的 42%% ,其 次 是 TCP Flood .UDP Flood 和 HTTP Flood。 与 2013 下 半年 相 比 ,DNS 


Flood 和 HTTP Flood 的 数量 有 所 减少 ,而 TCP Flood 则 大 幅 上 升 ; 与 2013 上 半年 相 比 ， 
DNS Flood 的 上 升 和 HTTP Flood 的 下 降 最 为 显著 ,如 图 4-104 所 示 。 


HTTP_ FLOOD| DNS_FLOOD | TCP FLOOD | UDP FLOOD |ICMP FLOOD| MIX FLOOD OTHER 
目 2013H1| 37.2% 13.1% 38.7% 3.5% 0.3% 4.1% 3.0% 
目 20 13H2 20.9% 50.1% 12.2% 6.6% 0.9% 4.6% 4.7% 
加 2014H1 11.4% 42.0% 31.2% 13.5% 0.9% 0.6% 0.4% 


图 4-104 ”DDoS 攻击 情况 


按照 DDoS 攻击 所 针对 的 攻击 目标 和 所 属 的 层次 ,可 以 将 DDoS 攻击 大 体 分 为 三 类 : 
针对 网 络 带 宽 资 源 的 DDoS 攻击 (网 络 层 )、 针 对 连接 资源 的 DDoS 攻击 (传输 层 ) 以 及 针对 
计算 资源 的 攻击 (应 用 层 ) 。 针 对 网 络 带宽 的 DDoS 攻击 是 最 古老 而 常见 的 一 种 DDoS 攻击 
容 起 。 

无 论 是 服务 器 的 网 络 接口 带宽 ,还 是 路 由 器 ,交换 机 等 互联 网 基础 设施 的 数据 包 处 理 能 
力 ,都 存在 着 事实 上 的 上 限 。 当 到 达 或 通过 的 网 络 数据 包 数 量 超过 这 个 上 限时 ,就 会 出 现 网 
络 拥堵 .响应 缓慢 的 情况 。 针 对 网 络 带宽 资源 的 DDoS 攻击 就 是 根据 该 原理 ,利用 广泛 分 布 
的 僵尸 主机 发 送 大 量 的 网 络 数据 包 , 占 满 被 攻击 目标 的 全 部 带宽 ,从 而 使 正常 的 请 求 无 法 得 
到 及 时 有 效 的 响应 ,造成 拒绝 服务 。 

攻击 者 可 以 使 用 Ping Flood、UDP Flood 等 方式 直接 对 被 攻击 目标 展开 针对 网 络 带 宽 
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资源 的 DDoS 攻击 ,但 这 种 方式 不 仅 低 效 , 还 很 容易 被 查 到 攻击 的 源头 。 虽然 攻击 者 可 以 使 
用 伪造 源 IP 地 址 的 方式 进行 隐藏 ,但 更 好 的 方式 是 使 用 DDoS 反射 攻击 技术 。 

DDoS 反射 攻击 是 指 利用 路 由 器 、 服 务 器 等 设施 对 请 求 产 生 应 答 , 从 而 反射 攻击 流量 并 
隐藏 攻击 来 源 的 一 种 DDoS 技术 。DDoS 反射 攻击 的 基本 原理 如 图 4-105 所 示 。 


图 4-105 DDoS 反射 攻击 


在 进行 DDoS 反射 攻击 时 ,攻击 者 通过 控制 端 控制 大 量 僵尸 主机 发 送 大 量 的 数据 包 。 
这 些 数据 包 的 特别 之 处 在 于 : 其 目的 IP 地 址 指向 作为 反射 器 的 服务 器 、 路 由 器 等 设施 ,而 
源 IP 地 址 则 被 伪造 成 被 攻击 目标 的 IP 地 址 。 反 射 器 在 收 到 数据 包 时 ,会 认为 该 数据 包 是 
由 被 攻击 目标 所 发 来 的 请 求 , 因 此 会 将 响应 数据 发 送 给 被 攻击 目标 。 当 大 量 的 响应 数据 包 
涌 向 攻击 目标 时 ,就 会 造成 拒绝 服务 攻击 。 

发 动 DDoS 反射 攻击 需要 在 互联 网 上 找到 大 量 的 反射 器 ,对 于 某 些 种 类 的 反射 攻击 ,这 
并 不 难 实 现 。 例 如 ,对 于 ACK 反射 攻击 ,只 需要 找到 互联 网 上 开放 TCP 端口 的 服务 器 即 
可 ,而 这 种 服务 器 在 互联 网 上 是 大 量 存在 的 。 

相 比 于 直接 伪造 源 地 址 的 DDoS 攻击 ,DDoS 反射 攻击 由 于 增加 了 一 层 反 射 步骤 ,更 加 
难以 追溯 攻击 来 源 。 


4.6.5 DDoS 放大 攻击 


DDoS 放大 攻击 是 DDoS 反射 攻击 的 一 种 特殊 形式 。 DDoS 攻击 
简单 地 说 , 当 使 用 的 反射 器 对 网 络 流量 具有 放大 作用 时 ， 
DDoS 反射 攻击 就 变 成 了 DDoS 放大 攻击 。 


针对 网 络 带宽 资源 的 DDoS 攻击 ` DDoS 反射 攻击 和 
DDoS 放大 攻击 的 关系 见 图 4-106。 直接 攻击 
进行 DDoS 放大 攻击 的 方式 与 DDoS 反射 攻击 的 方式 


是 基本 一 致 的 ,不 同 之 处 在 于 反射 器 (放大 器 ) 所 提供 的 网 
络 服务 需要 满足 一 定 的 条 件 。 
首先 ,在 反射 器 提供 的 网 络 服务 协议 中 ,需要 存在 请 求 ”图 4-106 DDoS 三 类 攻击 关系 
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和 响应 数据 量 不 对 称 的 情况 ,响应 数据 量 需 要 大 于 请 求 数据 量 。 响 应 数据 量 与 请 求 数据 量 
的 比值 越 大 ,放大 器 的 放大 倍数 也 就 越 大 ,进行 DDoS 放大 攻击 的 效果 也 就 越 明显 。 

其 次 ,进行 DDoS 放大 攻击 通常 会 使 用 无 须 认证 或 握手 的 协议 。DDoS 放大 攻击 需要 
将 请 求 数据 的 源 IP 地 址 伪造 成 被 攻击 目标 的 IP 地 址 ,如 果 使 用 的 协议 需要 进行 认证 或 者 
握手 , 则 该 认证 或 握手 过 程 没 有 办 法 完成 ,也 就 不 能 进行 下 一 步 的 攻击 。 因 此 , 绝 大 多 数 的 
DDoS 放大 攻击 都 是 用 基于 UDP 协议 的 网 络 服务 进行 攻击 的 。 

最 后 ,放大 器 使 用 网 络 服务 部 署 的 广泛 性 决定 了 该 DDoS 放大 攻击 的 规模 和 严重 程度 。 
如 果 存 在 某 些 网 络 服务 ,不 需要 进行 认证 并 且 放 大 效果 非常 好 ,但 是 在 互联 网 上 部 署 的 数量 
很 少 ,那么 利用 该 网 络 服务 进行 放大 也 不 能 得 到 很 大 的 流量 , 达 不 到 DDoS 攻击 的 效果 ,这 
种 网 络 服务 也 就 不 具备 作为 DDoS 放大 攻击 放大 器 的 价值 。 

DNS 作为 可 以 将 域名 和 IP 地 址 相互 映射 的 一 个 分 布 式 数据 库 , 能 够 使 人 更 方便 地 访 
问 互联 网 ,而 不 用 去 记 住 能 够 被 机 器 直接 读 取 的 IP 地 址 。DNS 使 用 的 TCP 与 UDP 端口 
号 都 是 53 ,主要 使 用 UDP 协议 。 

通常 ,DNS 响应 数据 包 会 比 查 询 数据 包 大 ,攻击 者 利用 普通 的 DNS 查询 请 求 就 能 够 将 
攻击 流量 放大 2 一 10 倍 。 但 更 有 效 的 方法 是 使 用 RFC 2671 中 定义 的 DNS 扩展 机 制 
EDNSO。 

在 没有 EDNSO 以 前 ,对 DNS 查询 的 响应 数据 包 被 限制 在 512 字 节 以 内 。 当 需要 应 答 
的 数据 包 超过 512 字 节 时 ,根据 DNS 服务 实现 的 不 同 , 可 能 会 丢弃 超过 512 字 节 的 部 分 ,也 
可 能 会 使 用 TCP 协议 建立 连接 并 重新 发 送 。 无 论 是 哪 种 方式 ,都 不 利于 进行 DNS 放大 
攻击 。 

在 EDNSO 中 ,扩展 了 DNS 数据 包 的 结构 ,增加 了 OPT RR 字段 。 在 OPT RR 字段 
中 ,包含 了 客户 端 能 够 处 理 的 最 大 UDP 报 文 大 小 的 信息 。 服 务 端 在 响应 DNS 请 求 时 , 解 
析 并 记录 下 客户 端 能 够 处 理 的 最 大 UDP 报 文 的 大 小 ,并 根据 该 大 小 生成 响应 的 报 文 。 

攻击 者 能 够 利用 DIG(Domain Information Groper) 和 EDNSO 进行 高 效 的 DNS 放大 
攻击 。 

攻击 者 向 广泛 存在 的 开放 DNS 解析 器 发 送 dig 查询 ,将 OPT RR 字段 中 的 UDP 报 文 
大 小 设置 为 很 大 的 值 (如 4096) ,并 将 请 求 的 源 IP 地 址 伪造 成 被 攻击 目标 的 IP 地 址 。DNS 
解析 器 收 到 查询 请 求 后 ,会 将 解析 的 结果 发 送 给 被 攻击 目标 。 当 大 量 的 解析 结果 涌 向 目标 
时 ,就 会 导致 目标 网 络 拥堵 和 缓慢 ,造成 拒绝 服务 攻击 ,如 图 4-107 所 示 。 

攻击 者 发 送 的 DNS 查询 请 求 数据 包 大 小 一 般 为 60 字 节 左右 ,而 查询 返回 结果 的 数据 
包 大 小 通常 为 3000 字 节 以 上 ,因此 ,使 用 该 方式 进行 放大 攻击 能 够 达到 50 倍 以 上 的 放大 效 
果 。 极 端 情 况 下 ,36 字 节 的 查询 请 求 能 够 产生 3 一 4kB 的 应 答 ,也 就 是 说 ,能 够 对 攻击 流量 
进行 一 百倍 的 放大 。 

在 2013 年 3 月 对 Spamhaus 的 DDoS 攻击 中 ,主要 就 使 用 了 DNS 放大 攻击 技术 ,使 得 
攻击 流量 达到 了 史无前例 的 300Gb/s, 甚 至 拖 慢 了 局 部 互联 网 的 响应 速度 。 

【 例 4-11】 针对 Spamhaus 的 DDoS 攻击 。 

Spamhaus 是 一 家 致力 于 反 垃 圾 邮件 的 非 营 利 组 织 , 总 部 在 伦敦 和 上 日内瓦。Spamhaus 
维护 了 一 个 巨大 的 垃圾 邮件 黑 名 单 ,这 个 黑 名 单 被 很 多 大 学 /研究 机 构 、 互 联网 提供 商 、 军 事 
机 构 和 商业 公司 广泛 使 用 。 从 2013 年 3 月 18 日 起 ,Spamhaus 开始 遭受 DDoS 攻击 。 攻 击 
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图 4-107 DNS 反射 攻击 示意 图 
者 通过 伪 己 网络 和 DNS 反射 技术 进行 攻击 ,攻击 流量 从 10Gb/s 不 断 增 长 ,在 3 月 27 日 达 
到 惊人 的 300Gb/s 攻击 流量 ,被 认为 是 互联 网 史上 最 大 规模 的 DDoS 攻击 事件 。 


从 2013 年 3 月 18 日 起 ,Spamhaus 的 网 站 开始 遭受 DDoS 攻击 。 攻 击 流量 占 满 了 


Spamhaus 的 全 部 连接 带宽 ,导致 其 网 站 无 法 访问 。 如 图 4-108 所 示 的 是 DDoS 防护 设备 前 
的 路 由 器 上 记录 的 流量 数据 。 
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Average:57.51Gb/s Maximum:80.33Gb/s 
图 4-108 攻击 流量 图 


图 中 的 绿色 区 域 代表 入 站 的 请 求 数据 流量 , 蓝 线 代 表 出 站 的 响应 数据 流量 。 可 以 看 出 ， 
初始 的 攻击 相对 比较 温和 ,攻击 流量 约 为 10Gb/s。 在 世界 标准 时 间 16 :30 左右 有 一 次 持续 
约 10 分 钟 的 大 流量 攻击 ,这 应 该 是 一 次 测试 攻击 。 从 世界 标准 时 间 21:30 开始 ,攻击 者 将 
攻击 流量 增 大 到 75Gb/s。 


从 2013 年 3 月 19 日 到 2013 年 3 月 21 日 ,对 Spamhaus 的 攻击 流量 在 30 一 90Gb/s 波 
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动 。 到 3 月 22 日 ,攻击 流量 达到 了 120Gb/s。 

在 攻击 者 发 现 无 法 有 效 地 击 垮 Spamhaus 和 作为 防护 服务 提供 商 的 CloudFlare 之 后 ， 
他 们 改变 了 攻击 策略 , 转 而 攻击 CloudFlare 的 网 络 带宽 供应 商 和 连接 的 互联 网 交换 设施 。 

CloudFlare 主要 从 二 级 供应 商 处 购买 带宽 ,而 二 级 供应 商 从 一 级 供应 商 处 购买 带宽 并 
保证 相互 之 间 的 连接 。 一 级 供应 商 并 不 从 彼此 购买 带宽 ,他 们 相互 之 间 进 行 对 等 结算 。 根 
本 上 ,是 这 些 一 级 供应 商 来 确保 每 一 个 网 络 能 够 连接 到 其 他 网 络 。 如 果 一 级 供应 商 的 设备 
或 网 络 出 现 故障 ,将 会 成 为 互联 网 一 个 很 大 的 问题 。 

CloudFlare 采用 Anycast 进行 攻击 流量 的 分 流 。 使 用 Anycast 技术 意味 着 如 果 攻 击 者 
攻击 traceroute 中 的 最 后 一 跳 , 则 这 些 攻击 流量 会 被 扩散 到 CloudFlare 世界 各 处 的 网 络 和 
数据 中 心中 。 因 此 ,攻击 者 改 为 攻击 traceroute 中 的 倒数 第 二 跳 , 这 使 得 攻击 数据 汇聚 到 了 
单 点 ,这 样 虽然 不 会 导致 全 网 范围 内 的 资源 耗 尽 , 但 会 造成 区 域 性 的 问题 。 

这 些 二 级 供应 商 能 够 在 其 网 络 边界 对 这 类 攻击 流量 进行 快速 有 效 的 过 滤 。 由 于 这 些 攻 
击 流量 不 会 进入 二 级 供应 商 的 网 络 内 部 ,攻击 流量 的 压力 主要 是 由 大 型 的 一 级 供应 商 来 承 
担 的 。 据 一 级 供应 商 称 ,与 本 次 攻击 相关 的 攻击 数据 流量 已 经 达到 了 300Gb/s。 

如 此 大 规模 的 攻击 所 带 来 的 挑战 是 它 可 能 会 压 垮 连接 互联 网 的 系统 。 对 于 路 由 设备 来 
说 ,即便 通过 组 合 端口 等 方式 可 以 提高 其 处 理 能 力 , 但 这 种 提高 依然 是 有 限 的 。 当 攻击 流量 
超过 该 限度 以 后 ,网 络 就 会 变 得 拥堵 和 缓慢 。 

在 3 月 27 日 和 之 前 的 几 天 , 随 着 攻击 流量 的 不 断 增 大 ,大 量 的 攻击 数据 汇聚 到 欧洲 的 
几 个 一 级 供应 商 网 络 内 部 ,造成 网 络 拥堵 。 这 影响 了 上 千 万 的 互联 网 用 户 ,普通 用 户 即 使 访 
问 与 Spamhaus 或 CloudFlare 无 关 的 网 站 时 也 会 感到 缓慢 。 

除了 二 级 供应 商 ,防护 方 还 通过 互联 网 交换 中 心 (Internet Exchanges,IXs) 与 其 他 网 络 
进行 连接 。 从 根本 上 讲 , 这 些 互联 网 交换 中 心 是 连接 不 同 网 络 的 交换 机 。 在 欧洲 ,这 些 互 联 
网 交换 设施 以 非 营利 机 构 的 形式 运行 ,并 被 认为 是 重要 的 基础 设施 。 它 们 连接 了 上 百 个 世 
界 上 最 大 的 网 络 和 几乎 全 部 的 大 型 网 络 公司 。 

同样 ,攻击 者 也 对 互联 网 交换 中 心 展开 了 攻击 。 他 们 攻击 了 伦敦 .阿姆斯特丹 .法兰克 
福 和 中 国 香港 的 核心 互联 网 交换 基础 设施 。 攻 击 影响 最 大 的 是 伦敦 的 交换 设施 及 其 监视 系 
统 , 从 图 4-109 中 可 以 看 出 该 互联 网 交换 中 心 通过 的 流量 。 
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LINX Public Exchange Maximal:1.568Tb/s Estimated PI Traffic:1536Gb/s 
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图 4-109 交换 中 心 通过 的 流量 
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攻击 者 使 用 的 主要 攻击 技术 是 DNS 反射 技术 。 在 本 次 事件 中 ,攻击 者 向 大 量 的 开放 
DNS 服务 器 发 送 了 对 ripe. net 域名 的 解析 请 求 ,并 将 源 IP 地 址 伪造 成 Spamhaus 的 IP 地 
址 ,大 量 开 放 DNS 服务 器 的 响应 数据 产生 了 大 约 75Gb/s 的 攻击 流量 。DNS 请 求 数据 的 长 
度 约 为 36 字 节 ,而 响应 数据 的 长 度 约 为 3000 字 节 ,这 意味 着 利用 DNS 反射 能 够 产生 约 
100 倍 的 放大 效应 ,因此 ,攻击 者 只 需要 掌握 和 控制 一 个 能 够 产生 750Mb/s 流量 的 僵尸 网 
络 就 能 够 进行 这 么 大 规模 (75Gb/s) 的 攻击 。 

从 攻击 数据 中 记录 到 了 三 万 个 不 同 的 开放 DNS 服务 器 ,这 说 明 平 均 每 台 开 放 DNS 服 
务 器 只 需要 产生 2. 5Mb/s 的 流量 ,这 通常 是 不 会 被 安全 检测 机 制 发 现 的 。 

除了 DNS 反射 技术 ,攻击 者 还 使 用 了 ACK 反射 等 其 他 技术 进行 攻击 ,如 图 4-110 所 
示 。 在 ACK 反射 攻击 中 ,攻击 者 向 大 量 服务 器 发 送 大 量 的 SYN 包 , 并 将 源 IP 地 址 伪造 成 
攻击 目标 的 IP 地 址 。 同 DNS 反射 攻击 类 似 , 这 种 方式 伪装 了 攻击 的 来 源 , 使 攻击 看 起 来 像 
是 合法 的 响应 ; 与 DNS 反射 攻击 不 同 的 是 ,这 种 方式 不 存在 放大 效应 。 
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图 4-110 ACK 反射 攻击 示意 图 


4.6.6 SNMP 放大 攻击 


SNMP 是 简单 网 络 管理 协议 (Simple Network Management Protocol) 的 缩写 ,该 协议 
是 目前 TCP/IP 网 络 中 应 用 最 为 广泛 的 网 络 管理 协议 , 它 提 供 了 一 个 管理 框架 来 监控 和 维 
护 互 联网 设备 。SNMP 协议 使 用 UDP 161 端口 进行 通信 。 

由 于 SNMP 的 效果 很 好 ,网 络 硬 件 厂商 开始 把 SNMP 加 入 他 们 制造 的 每 一 台 设 备 中 。 
今天 ,各 种 网 络 设备 上 都 可 以 看 到 默认 启用 的 SNMP 服务 ,从 交换 机 到 路 由 器 ,从 防火 墙 到 
网 络 打印 机 ,无 一 例外 。 同 时 ,许多 厂商 安装 的 SNMP 都 采用 了 默认 的 通信 字符 串 
(Community String) ,这 些 通信 字符 串 是 程序 获取 设备 信息 和 修改 配置 必 不 可 少 的 。 最 常 
见 的 默认 通信 字符 串 是 public 和 private, 除 此 之 外 还 有 许多 厂商 私有 的 默认 通信 字符 串 。 


232 信息 对 抗 与 网 络 安全 (第 3 版 ) 


几乎 所 有 运行 SNMP 的 网 络 设备 上 ,都 可 以 找到 某 种 形式 的 默认 通信 字符 串 。 

在 SNMPvl 中 定义 的 Get 请 求 可 以 尝试 一 次 获取 多 个 MIB 对 象 ,但 响应 消息 的 大 小 
受到 设备 处 理 能 力 的 限制 。 如 果 设 备 不 能 返回 全 部 请 求 的 响应 , 则 会 返回 一 条 错误 信息 。 
在 SNMPv2 中 ,添加 了 GetBulk 请 求 ,该 请 求 会 通知 设备 返回 尽 可 能 多 的 数据 ,这 使 得 管理 
程序 能 够 通过 发 送 一 次 请 求 就 获得 大 段 的 检索 信息 。 

利用 默认 通信 字符 串 和 GetBulk 请 求 ,攻击 者 能 够 开展 有 效 的 SNMP 放大 攻击 ,如 


图 4-111 所 示 。 
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图 4-111 SNMP 反射 攻击 示意 图 


攻击 者 向 广泛 存在 并 开启 了 SNMP 服务 的 网 络 设 备 发 送 GetBulk 请 求 , 使 用 默认 通信 
字符 串 作 为 认证 凭据 ,并 将 源 IP 地 址 伪造 成 被 攻击 目标 的 IP 地址。 设备 收 到 GetBulk 请 
求 后 ,会 将 响应 结果 发 送 给 被 攻击 目标 。 当 大 量 的 响应 结果 涌 向 目标 时 ,就 会 导致 目标 网 络 
拥堵 和 缓慢 ,造成 拒绝 服务 攻击 。 

攻击 者 发 送 的 GetBulk 请 求 数据 包 约 为 60 字 节 ,而 请 求 的 响应 数据 能 够 达到 1500 字 
节 以 上 ,因此 ,使 用 该 方式 进行 放大 攻击 能 够 达到 20 倍 以 上 的 放大 效果 。 


4.6.7 DDoS 攻击 的 防范 


对 DDoS 攻击 的 防护 ,需要 从 攻击 源头 、 放 大 器 、 被 攻击 目标 三 个 方面 进行 防护 ,才能 达 
到 最 有 效 的 防护 效果 。 

1. 对 开放 DNS、SNMP 服务 的 设备 进行 防护 

首先 ,应 确认 设备 上 的 DNS、SNMP 服务 是 否 是 必要 的 ,如 非 必要 , 则 应 该 关闭 这 些 
服务 。 

如 果 必 须 开放 DNS、SNMP 服务 . 则 应 加 强 对 这 些 服 务 请 求 的 鉴 权 和 认证 。 例 如 ,DNS 
服务 不 应 对 互联 网 上 的 任意 计算 机 都 提供 域名 解析 服务 ,而 只 响应 该 ISP 或 该 网 络 内 部 的 


僵尸 主机 
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DNS 解析 请 求 ; SNMP 要 使 用 非 默 认 的 独特 的 通信 字符 串 , 并 尽 可 能 升级 到 SNMPv3 版 
本 ,以 提高 安全 性 。 

最 后 ,还 应 该 限制 DNS .SNMP 响应 数据 包 大 小 的 阔 值 ,直接 丢弃 超大 的 响应 数据 包 。 

2. ISP 对 伪造 源 IP 地 址 的 数据 包 进 行 过 滤 

攻击 者 能 够 发 送 伪造 源 IP 地 址 的 数据 包 , 这 是 针对 网 络 带 宽 资源 的 DDoS 攻击 能 够 产 
生 的 根本 原因 。 通 过 伪造 源 IP 地 址 ,不 仅 能 够 发 动 DDoS 反射 攻击 和 DDoS 放大 攻击 ,还 
能 够 有 效 地 隐藏 攻击 来 源 ,降低 攻击 者 面临 的 风险 。 如 果 ISP 能 够 对 伪造 源 IP 地 址 的 数据 
包 进 行 过 滤 ,使 其 不 能 进入 互联 网 中 ,就 能 够 从 根本 上 解决 针对 网 络 带宽 资源 的 DDoS 攻击 
问题 。 

在 RFC 2827/BCP 38 中 高 度 建议 使 用 入 口 过 滤 , 以 阻止 伪造 源 IP 地 址 的 网 络 攻击 。 
遗憾 的 是 ,只 有 少数 公司 和 ISP 遵守 了 这 些 建议 。 只 有 当 所 有 接 入 互联 网 的 设备 都 遵守 该 
规则 时 ,才能 彻底 阻止 伪造 源 IP 地 址 的 网 络 攻 击 。 

3. 使 用 Anycast 技术 对 攻击 流量 进行 稀释 和 清洗 


利用 DDoS 放大 攻击 技术 ,能 够 打出 很 大 的 流量 。 对 这 种 规模 的 攻击 ,需要 对 攻击 流量 
在 多 个 清洗 中 心 进行 分 布 式 清洗 ,将 攻击 流量 扩散 和 稀释 ,之 后 在 每 个 清洗 中 心 进行 精细 的 
清洗 。 

使 用 Anycast 技术 进行 防护 是 一 种 可 行 的 方案 。 通 过 使 用 Anycast 技术 ,可 以 有 效 地 
将 攻击 流量 分 散 到 不 同 地 点 的 清洗 中 心 进行 清洗 。 在 正常 环境 下 ,这 种 方式 能 够 保证 用 户 
的 请 求 数据 被 路 由 到 最 近 的 清洗 中 心 ; 当 发 生 DDoS 攻击 时 ,这 种 方式 能 够 将 攻击 流量 有 
效 地 稀释 到 防护 方 的 网 络 设施 中 。 此 外 ,每 一 个 清洗 中 心 都 声明 了 相同 的 IP 地 址 ,攻击 流 
量 不 会 向 单一 位 置 聚 集 ,攻击 情况 从 多 对 一 转变 为 多 对 多 ,网络 中 就 不 会 出 现 单 点 瓶颈 。 在 
攻击 流量 被 稀释 之 后 ,清洗 中 心 对 流量 进行 常规 的 清洗 和 阻 断 就 变 得 相对 容易 了 。 


4.6.8 移动 互联 网 环境 下 的 DDoS 攻防 


移动 互联 网 出 现 以 前 ,传统 的 网 络 访问 过 程 是 由 普通 的 PC 通过 运营 商 提供 的 有 线 宽 
带 网 络 访问 Web 等 服务 器 ,而 DDoS 攻击 者 也 是 通过 同样 的 路 径 进 行 攻击 的 。 

在 移动 互联 网 出 现 之 后 ,一 种 新 的 网 络 访问 过 程 产生 了 。 在 移动 互联 网 环境 下 ,智能 设 
备 通 过 运营 商 提 供 的 移动 网 络 来 访问 App 服务 器 成 为 一 种 常见 的 网 络 访问 方式 。 然 而 , 移 
动 互联 网 并 不 仅仅 增加 了 这 一 种 信息 传递 路 径 。 例 如 ,智能 设备 可 以 通过 Wi-Fi 接 入 传统 
的 宽带 网 络 ,访问 App 服务 器 或 者 传统 Web 服务 器 ; 而 传统 的 PC 则 可 以 通过 3G 无 线 网 
卡 等 设备 接 人 移动 网 络 ,访问 传统 的 Web 服务 器 或 通过 特定 方式 访问 App 服务 器 。 同 样 ， 
DDoS 攻击 者 也 可 以 使 用 这 些 路 径 当中 的 任 一 路 径 进行 DDoS 攻击 。 在 这 种 情况 下 ,DDoS 
攻击 产生 了 一 些 新 的 变化 , 现 有 的 抗 DDoS 方案 也 面临 了 新 的 挑战 。 

1. 客户 端 

随 着 移动 互联 网 的 快速 发 展 , 智 能 设备 的 计算 能 力 和 设备 数量 都 得 到 了 极 大 的 提高 。 
主流 的 手机 和 平板 等 智能 设备 ,不 论 是 Android 设备 还 是 iOS 设备 ,其 CPU 都 已 经 达到 了 
多 核 1. 5GHz 以 上 的 运算 速度 ,RAM 容量 也 都 在 1GB 以 上 ,其 计算 能 力 已 经 与 PC 不 相 上 
下 。 智 能 设备 的 数量 也 在 飞速 增长 .根据 官方 给 出 的 数据 ,Android 设备 的 数量 已 经 超过 9 
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亿 台 :iOS 设备 的 数量 也 已 经 超过 了 6 亿 台 ,作为 对 比 ,2013 年 全 球 PC 数量 为 17. 8 亿 台 。 
可 见 , 仅 Android 设备 和 iOS 设备 的 总 和 就 已 经 接近 全 球 PC 的 数量 ,而 移动 设备 的 数量 依 
然 在 高 速 增长 。 快 速 增长 的 计算 能 力 和 设备 数量 ,使 智能 设备 具有 了 发 动 DDoS 攻击 的 可 
能 性 。 
同时 ,与 PC 相 比 ,智能 设备 的 安全 防范 较 差 ,更 容易 成 为 僵尸 设备 。 现 有 的 智能 设备 
主要 是 Android 和 iOS 两 大 平台 。Android 设备 由 于 操作 系统 和 生态 环境 的 开放 性 等 原 
因 ,很 容易 被 植 人 恶意 代码 成 为 僵尸 设备 ; iOS 设备 相对 比较 封闭 ,但 进行 越狱 后 依然 能 够 
从 第 三 方 源 安装 程序 ,存在 成 为 僵尸 设备 的 可 能 。 不 过 ,即使 是 从 官方 应 用 市 场 上 安装 的 应 
用 ,也 依然 有 可 能 是 逃 过 检查 的 恶意 应 用 。 更 重要 的 是 ,智能 设备 的 用 户 通常 没有 较 强 的 安 
全 意识 ,不 能 够 意识 到 这 些 智 能 设备 与 PC 并 没有 本 质 的 区 别 , 导 致 恶意 软件 乘虚 而 人 并 控 
制 设备 发 动 攻击 。 
由 于 智能 设备 的 这 些 特性 ,DDoS 攻击 工具 和 僵尸 程序 已 经 逐渐 出 现在 了 智能 设备 上 。 
- 些 DDoS 攻击 工具 以 压力 测试 工具 的 名 义 出 现 。 例 如 ,如 图 4-112 所 示 的 低 轨道 离 
子 炮 (Low Orbit Ion Cannon,LOIC) 就 以 压力 测试 工具 的 名 义 出 现在 Google Play 上 ,可 以 
进行 TCP、UDP 和 HTTP 洪水 攻击 ; 如 图 4-113 所 示 的 另 一 款 名 为 AnDOSid 的 应 用 则 可 
以 发 动 HTTP POST 洪水 攻击 。 这 些 工具 都 非常 简单 易 用 ,只 需要 输入 目标 就 可 以 开始 进 
行 攻击 。 
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图 4-112 LOIC 4-113 AnDOSid 


而 Android. DDoS. 1. origin 等 恶意 软件 也 瞄准 了 智能 设备 ,通过 伪装 .诱骗 等 方式 吸引 
用 户 单 击 运行 ,在 后 台 连 接 C&C 服务 器 ,并 等 待命 令 发 动 攻击 。 

可 以 说 ,目前 的 智能 设备 计算 能 力 强 .设备 数量 多 安全 性 差 , 已 经 具备 了 形成 僵尸 网 络 
发 动 DDoS 攻击 的 可 能 性 。 随 着 移动 互联 网 的 不 断 发 展 , 由 智能 设备 组 成 僵尸 网 络 的 风险 
会 越 来 越 大 。 

不 过 ,目前 这 种 类 型 的 僵尸 网 络 还 不 多 见 , 其 恶意 行为 多 以 信息 窃取 为 主 ,即使 发 动 
DDoS 攻击 也 与 传统 PC 上 的 攻击 方式 没有 太 大 的 区 别 ,尚未 对 DDoS 攻防 的 现状 造成 太 大 
影响 。 

2. 数据 网 络 

移动 数据 网 络 传输 速度 的 提升 与 移动 互联 网 的 快速 发 展 具有 密 不 可 分 的 关系 ,同时 网 
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络 带宽 的 提升 也 为 通过 移动 网 络 发 动 DDoS 攻击 提供 了 可 能 性 。 

与 2G 网 络 相 比 ,3G 网 络 在 数据 传输 速度 上 有 了 很 大 的 提升 ,其 下 行 速度 可 以 达到 
2Mbps 以 上 ,上 行 速度 可 达 384Kb/s 以 上 。 此 外 ,部 分 国家 和 地 区 的 运营 商 已 经 部 署 了 实 
用 的 3.5G( 下 行 速度 14Mb/s, 上行 速度 5. 8Mb/s) 和 4G (下行 速 度 1Gb/s, 上行 速 度 
500Mb/s) 通 信和 网 络 , 甚 至 超过 了 一 般 的 传统 宽带 网 络 的 传输 速度 ,通过 这 些 高 速 网 络 进行 
DDoS 攻击 是 完全 可 能 的 。 

目前 ,还 没有 通过 移动 网 络 发 起 大 规模 DDoS 攻击 的 案例 ,这 是 因为 移动 数据 网 络 的 流 
量 资费 还 相对 较 高 ,用 户 对 于 流量 的 消耗 也 比较 敏感 。 不 过 , 随 着 数据 流量 资费 的 不 断 下 调 以 
及 部 分 运营 商 推出 的 不 限 流 量 等 套餐 ,通过 移动 网 络 发 起 的 DDoS 攻击 流量 将 会 不 断 增长 。 

虽然 移动 网 络 上 的 数据 传输 同样 是 基于 TCP/IP 协议 进行 的 ,但 与 传统 的 宽带 网 络 相 
比 ,依然 存在 一 定 的 差异 性 ,这 些 差 异 会 对 当前 的 DDoS 防护 方案 产生 一 定 的 影响 。 

例如 ,移动 网 络 的 一 个 特点 是 对 于 接 入 的 终端 大 量 使 用 NAT 方式 进行 地 址 分 配 。 由 
于 智能 设备 数量 的 不 断 增 长 和 IPv4 地 址 数量 耗 尽 ,国内 的 三 家 运营 商 目 前 都 会 给 接 入 其 网 
络 的 设备 分 配 一 个 私有 的 IP 地 址 ,设备 在 进行 通信 时 通过 NAT 方式 与 互联 网 上 的 其 他 设 
备 进行 连接 。 在 这 种 情况 下 ,大 量 的 设备 会 使 用 同一 个 网 关 IP 地 址 与 服务 器 进行 通信 ,而 
如 果 依 然 以 IP 地 址 作为 DDoS 攻击 防护 和 清洗 机 制 的 话 ,就 会 产生 大 量 的 误伤 或 漏 报 , 影 
响 DDoS 防护 的 效果 。 

不 过 , 随 着 IPv6 的 逐渐 应 用 和 推广 .上面 的 问题 会 逐步 得 到 解决 。IPv6 网 络 的 地 址 空 
间 非 常 大 ,能 够 从 根本 上 解决 目前 IP 地 址 短缺 的 问题 。 同 时 ,IPv6 网 络 环境 下 也 不 再 有 
NAT 机 制 ,网 络 变 得 更 加 扁平 化 ,每 一 台 设 备 进行 网 络 访问 的 时 候 都 使 用 不 同 的 公 网 IP 地 
址 ,这 样 IP 地 址 依然 可 以 作为 DDoS 攻击 的 防护 和 清洗 依据 ,而 现 有 的 防护 方案 不 受到 影响 。 

除 大 规模 使 用 NAT 带 来 的 问题 外 ,移动 数据 网 络 还 有 一 些 其 他 的 特性 可 能 导致 现 有 
防护 方案 失效 或 产生 大 量 误杀 (例如 由 于 传输 媒介 不 同 导 致 网 络 延 时 增加 等 问题 ) ,这 需要 
对 现 有 的 防护 方案 做 进一步 的 测试 和 改进 。 

3. 服务 器 


移动 互联 网 环境 下 ,DDoS 攻防 变化 的 另 一 个 主要 方面 体现 在 对 于 服务 器 防护 难度 的 
增加 。 

对 于 传统 的 Web 服务 器 ,防护 应 用 层 DDoS 攻击 原理 如 图 4-114 所 示 。 

当 用 户 使 用 浏览 器 访问 www. example. com 时 ,访问 请 求 会 被 发 送 到 防护 设备 ,防护 设 
备 会 将 请 求 重 定向 到 验证 页 面 。 在 验证 页 面 ,防护 设备 会 使 用 JavaScript 等 脚本 语言 发 送 
一 条 简单 的 运算 请 求 ,或 者 在 验证 页 面 生成 一 个 验证 码 ,以 检查 访问 请 求 是 否 是 由 真实 的 浏 
览 器 /用 户 发 出 的 。 

如 果 请 求 是 由 真实 的 浏览 器 发 出 的 ,那么 浏览 器 会 正确 地 计算 出 运算 结果 并 返回 ; 如 
果 请 求 是 由 真实 的 用 户 发 出 的 ,那么 用 户 就 能 够 填写 正确 的 验证 码 。 此 时 防护 设备 青 将 浏 
览 器 的 访问 请 求 重 定向 到 Web 服务 器 的 www. example. com/thisurl 上 。 经 过 这 个 过 程 ， 
正常 用 户 即 可 进行 有 效 的 访问 。 

如 果 请 求 是 由 发 起 DDoS 攻击 的 僵尸 主机 发 送 的 ,由 于 僵尸 程序 通常 不 能 进行 
JavaScript 等 脚本 的 执行 ,也 无 法 自动 识别 出 验证 码 的 内 容 , 因 而 不 能 返回 正确 的 结果 ,这 
时 防护 设备 会 丢弃 访问 请 求 , 而 不 会 给 出 跳 转 到 Web 服务 器 的 链接 。 因 此 , 当 发 生 应 用 层 
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Get www.example.com 
1+1=? 
OK Goto www.example.com/thisurl 
Get www.example.com/thisurl 
OK 
Get www.example.com 
二 1+1=? 
?2 Ed 


图 4-114 防护 应 用 层 DDoS 原理 


DDoS 攻击 时 ,大 量 僵尸 程序 发 出 的 访问 请 求 会 被 防护 设备 直接 丢弃 ,不 会 对 真正 的 服务 器 
造成 影响 。 

然而 ,对 于 移动 互联 网 环境 下 的 App 服务 器 ,使 用 传统 防护 方法 则 有 可 能 造成 对 合法 
应 用 访问 的 拒绝 服务 。 

大 部 分 移动 App 的 Get 请 求 取 回 的 数据 不 是 一 个 页 面 ,而 是 一 个 XML 或 者 JSON 结 
构 ,App 在 得 到 数据 后 进行 解析 并 展示 即 可 。 因 此 ,大 量 的 移动 App 并 不 是 基于 浏览 器 页 
面 进行 交互 的 ,在 开发 的 过 程 中 也 就 不 需要 加 入 对 JavaScript 脚本 执行 的 支持 。 当 防护 设 
备 将 访问 重 定向 到 验证 页 面 时 ,App 能 够 得 到 该 页 面 的 内 容 , 但 没有 办 法 执行 并 展示 其 中 
的 JavaScript 脚本 ,无 法 给 出 正确 的 验证 结果 。 这 时 ,访问 请 求 就 会 被 当成 僵尸 程序 的 访问 
请 求 直接 丢弃 ,导致 无 法 正常 获取 服务 内 容 。 

可 以 看 到 , 当 App 服务 器 遭 到 应 用 层 DDoS 攻击 时 ,如 果 不 开 启 防 护 设备 , 则 大 量 的 僵 
尸 程序 请 求 会 耗 尽 服务 器 资源 ,导致 正常 应 用 请 求 访问 缓慢 或 无 法 访问 ; 而 如 果 开 启 防护 
设备 的 现 有 防护 方法 , 则 会 直接 将 正常 应 用 的 访问 请 求 当 作伪 尸 程序 发 起 的 请 求 丢弃 ,正常 
用 户 依 然 无 法 访问 。 现 有 的 DDoS 防护 方案 面临 着 巨大 的 挑战 。 

虽然 目前 还 没有 方法 能 够 完全 解决 这 个 问题 ,但 在 发 生 了 针对 App 服务 器 的 应 用 层 
DDoS 攻击 时 ,可 以 通过 一 些 技 术 手 段 进行 一 定 程度 的 缓解 。 

通常 可 以 认为 ,对 于 App 服务 器 的 合法 访问 绝 大 多 数 来 源 于 移动 设备 上 的 App。 这 是 
因为 App 的 Get 请 求 取 回 的 数据 通常 不 是 一 个 页 面 ,而 是 一 个 XML 或 者 JSON 结构 ,App 
能 够 对 这 个 结构 进行 解析 和 展示 ,而 使 用 浏览 器 进行 访问 却 通 常 没有 意义 。 因 此 ,在 发 生 应 
用 层 DDoS 时 ,可 以 通过 检查 请 求 来 源 的 方法 ,丢弃 明显 不 合理 的 请 求 包 。 

例如 ,可 以 通过 检查 App 的 指纹 信息 来 过 滤 掉 明 显 非法 的 访问 请 求 。 通 常 ,App 的 请 
求 格式 比较 单一 固定 ,不 具有 浏览 器 访问 的 格式 多 样 性 ,也 不 需要 为 非 官方 的 App 提供 兼 
容 。 最 简单 的 App 指纹 是 HTTP 请 求 中 的 User-Agent 字段 ,大 多 数 的 移动 App 都 会 定义 
自己 的 UA, 可 以 将 其 作为 最 明显 的 指纹 特征 。 除 了 UA 以 外 ,一 部 分 应 用 还 可 能 在 HTTP 
请 求 的 Header 中 加 入 其 他 头 部 字段 ,这 些 字段 的 存在 与 否 以 及 这 些 字 段 的 顺序 关系 都 可 
以 作为 App 的 指纹 信息 。 建 立 指纹 信息 后 . 当 发 生 应 用 层 DDoS 攻击 时 ,就 可 以 将 不 符合 
App 指纹 信息 的 请 求 直 接 丢 弃 , 以 对 DDoS 攻击 产生 一 定 的 缓解 作用 。 


第 4 章 计算 机 网 络 安全 技术 237 


但 是 ,HTTP 请 求 中 的 Header 字段 是 能 够 被 伪造 的 ,攻击 者 只 要 知道 应 用 的 请 求 格 
式 , 就 能 够 伪造 出 完全 符合 的 HTTP 请 求 头 部 。 因 此 该 方法 只 能 对 一 部 分 通用 的 攻击 工具 
进行 防护 。 

对 于 App 服务 器 的 DDoS 攻击 ,最 根本 有 效 的 解决 办 法 是 在 App 应 用 中 添加 对 脚本 或 
验证 码 的 支持 ,以 便 使 防护 设备 能 够 分 辨 出 僵尸 程序 和 合法 用 户 的 区 别 , 从 而 有 效 地 屏蔽 和 
丢 奔 僵尸 程序 发 起 的 访问 请 求 。 


4.7 共享 攻击 


网 络 中 的 计算 机 为 了 彼此 之 间 交 换 数据 的 方便 ,经 常会 打开 共享 功能 ,将 硬盘 中 的 数据 
提供 给 网 络 中 的 其 他 用 户 使 用 。 共 享 攻击 是 利用 对 方 共享 的 硬盘 进入 对 方 电脑 ,然后 利用 
一 些 木 马 程序 进一步 控制 对 方 的 电脑 。 共 享 是 Windows 中 一 个 经 常 使 用 的 功能 ,网 上 有 很 
多 计算 机 打开 了 共享 功能 ,都 可 以 作为 攻击 的 目标 。 


4.7.1 共享 攻击 的 实现 


要 实现 共享 攻击 ,首先 要 找到 有 共享 的 机 器 ,Shed 集成 了 扫描 器 的 部 分 功能 ,可 以 自动 
寻找 提供 了 硬盘 共享 的 计算 机 ,并 打开 这 些 硬盘 。 下 面 是 使 用 Shed 扫描 共享 机 器 的 过 程 ， 
(1) 运行 Shed, 程 序 界面 如 图 4-115 所 示 。 


S shed 1.01 http://keir. ne 本 机 IP: 12... 作 ] 呈 | 昼 | 


起 始 更 [129 .168 .0 .1 el 
结束 IF[129 .168 . 0 .255| 主机 名 转换 LL) 


已 探索 共享 资源 卫 折 委 (Cc) | 展开 GE) | 。 正在 搜索 


到 让 ET 


图 4-115 ”Shed 程序 界面 


(2) Shed 不 仅 能 发 现 硬 盘 ,还 能 发 现 其 他 共享 资源 ,如 打印 机 。 单 击 * 选 项 按钮 ,可 以 
进行 扫描 对 象 设置 ,如 图 4-116 所 示 。 

(3) 设置 完毕 后 单 击 “ 确 定 ” 按 钮 , 回 到 程序 界面 。 在 “起 始 IP” 文 本 框 中 输入 扫描 的 起 
始 IP 地 址 ,在 “结束 IP” 文 本 框 中 输入 扫描 的 终止 IP 地 址 。 如 果 知道 对 方 计算 机 的 主机 名 
的 话 ,可 以 在 “主机 名 转换 ”按钮 上 方 的 文本 框 中 输入 其 主机 名 并 单 击 “主机 名 转换 ”按钮 ， 
Shed 会 自动 填写 IP 地 址 。 
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S Shed 1.01 http://keir.net 


国 显示 磁盘 

四” 显示 特殊 设备 (C$，ADNINS 等 ) 
尾 a 克 显示 打印 机 

由 一 吕 示 IFC 

你 作 末 显示 网 络 设置 

了 Fy 显示 未 知 设置 


图 4-116 设置 扫描 对 象 
(4) 单 击 “ 搜 索 ” 按 钮 开始 扫描 ,扫描 结果 如 图 4-117 所 示 。 


S shed 1.01 http://keir.net ”本 地 IP: 192.168.0.123 [ssjx] 


起 妨 IE| 192 168 .0 
Re 二 dl 


发 现 的 共享 资源 : > _ 折 要 忆 | _ 展开 | 约 E3 搞 : 


? 


es DE 了 


7 
必 四 四 和 多久 四 四 昌 四 和 
EE 


ITC [远程 进程 问 通信 
昌 - 了 > 192.168 0.6 
EE REALDNEPLAYE 


i 一 村 准备 就 结 过 项 o) | 关于 | 


图 4-117 扫描 结果 


(5) 直接 在 共享 的 硬盘 上 双击 鼠标 就 可 以 打开 对 方 计算 机 上 的 共享 资源 。 
4.7.2 禁用 共享 


图 4-117 中 的 IPC $ (Internet Process Connection) 是 为 了 让 进程 间 通 信 而 开放 的 命名 
管道 ,可 以 通过 验证 用 户 名 和 密码 获得 相应 的 权限 ,在 远程 管理 计算 机 和 查看 计算 机 的 共享 
资源 时 使 用 , 初 囊 是 为 了 方便 管理 员 的 管理 。 但 是 ,一 些 别有用心 者 会 利用 IPC $ ,查找 用 
户 列表 ,并 使 用 一 些 字 典 工具 ,对 主机 进行 攻击 。 因 此 ,要 避免 其 他 用 户 浏览 自己 硬盘 中 的 
信息 ,可 以 通过 禁用 共享 实现 。 

1. 终止 Server 服务 


在 Windows XP 默认 的 情况 下 ,硬盘 会 以 C$ 、D $ 等 方式 共享 ,这 是 Windows XP 为 
了 方便 共享 资源 及 管理 员 远程 访问 而 设置 的 ,如 果 不 想 在 局 域 网 中 与 其 他 用 户 共享 文件 ,可 
以 通过 终止 Server 服务 来 实现 ,方法 如 下 : 
(1) 单 击 “ 开 始 ”| “运行”, 输 入 Msconfig 命令 后 按 Enter 键 。 


(2) 在 出 现 的 “系统 配置 使 用 程序 ”对 话 框 中 ,打开 “服务 ”选项 卡 , 将 Server 选项 前 的 复 
选 框 清 空 ,如 图 4-118 所 示 。 
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的 管理 员 密 码 后 


安 


生 系统 配置 实用 程序 


一 般 srsTem TINT 上 | wrx IMT | Bo0T THT ] 服务 | 启动 


服务 基本 的 制造 商 
HITP SSL Microsoft Corporation 
IIS Adanin Microsoft Corporation 
IIAPI CD-Burning C Microsoft Corporation 
[Ey 
Workstation Microsoft Corporation 
TCP/IP NetBIOS Helper Micresoft Corporation 
回 Fetmeeting Renote Microsoft Corporation 
回 Distributed Transa Microsoft Corporation 
Vindows Installer Microsoft Corporation 
Network DDE Mierosoft Corporation 
et Logon Mierosoft Corporation 
(Notwork Fonnertions Mi erasnft Cornoration 正 丰 旗 行 


<《 > 


口 隧 六 所 有 让 crosoft 服务 加 ) 
确定 取消 应 用 (A) 帮助 


~ 


4-118 ”终止 Server 服务 


2. 清除 默认 共 
Windows 2000 系统 在 默认 安装 时 ,会 文件 夹 。 一 旦 攻击 者 知道 该 系统 
可 以 通过 “\\ 工 人 站 名 \ 共 享 4 名 称 ” 的 方法 打开 系统 指定 的 文件 夹 , 造 成 
全 隐患 。 将 默认 的 共享 隐患 从 系统 中 清除 的 方法 如 下 : 

(1) 单 击 “ 开 始 ”| J”, 输 入 cmd, 进 入 命令 行 状态 。 

(2) 输入 命令 net share, 系 统 将 自动 显示 出 本 系统 中 所 有 默认 的 共享 文件 夹 。 

(3) 输入 net share 共享 名 /del 命令 ,就 可 以 将 指定 的 共享 文件 夹 删除 ,如 图 4-119 所 示 。 


机 


人 N 


Documents and Settings\Adninistratornet share admin$ 


cunents and Settings\Adninistrator net share c$ 


>: Docunents and Settings\Adninist 


图 4-119 取消 共享 
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(4) 若 想 自动 将 系统 所 有 的 隐藏 共享 文件 夹 全 部 取消 ,可 以 在 记事 本 中 编写 程序 
del. bat, 如 图 4-120 所 示 。 编 写 完成 后 在 “开始 "菜单 的 “启动 ”中 建立 该 文件 的 快捷 方式 , 重 
新 启动 计算 机 即 可 。 
3. 屏蔽 139、445 端口 


外 del.bat - 记事 本 辐 回 | 加 | 

ED 139 .445 端口 实现 对 共享 文件 和 打印 机 的 访问 , 因 

Shpe pes /dls 此 ,IPC$ 连接 需要 139 或 445 端口 的 支持 ,通过 关闭 上 
述 端口 或 使 用 防火 墙 屏蔽 上 述 端 口 ,可 以 防止 共享 攻击 。 

net share e$ /del 4. 设置 复杂 密码 


如 果 必 须 开启 共享 服务 , 则 要 设置 复杂 密码 ,防止 攻 
击 者 通过 IPC$ 穷 举 密码 进行 攻击 。 


图 4-120 编写 程序 自动 取消 共享 


4.8 ARP 欺骗 攻击 


在 局 域 网 中 实际 传输 的 是 “ 帧 ”, 帧 里 面 有 目标 主机 的 MAC 地 址 。 一 台 主 机 要 与 男 一 
台 主 机 进行 直接 通信 ,必须 要 知道 目标 主机 的 MAC 地 址 ,目标 MAC 地 址 就 是 通过 地 址 解 
析 协 议 (Address Resolution Protocol, ARP) 获 得 的 。 所 谓 “ 地 址 解析 ”就 是 主机 在 发 送 帧 前 
将 目标 IP 地 址 转换 成 目标 MAC 地 址 的 过 程 ,ARP 的 基本 功能 就 是 通过 目标 设备 的 IP 地 
址 ,查询 目标 设备 的 MAC 地 址 ,以 保证 通信 的 顺利 进行 。 

ARP 欺骗 攻击 是 针对 ARP 的 一 种 攻击 技术 ,可 以 造成 内 部 网 络 的 混乱 ,让 某 些 被 欺骗 
的 计算 机 无 法 正常 访问 内 外 网 ,让 网 关 无 法 和 客户 端正 常 通信 。 一 般 来 说 ,IP 地 址 的 冲突 
可 以 通过 多 种 方法 和 手段 来 避免 ,而 ARP 工作 在 更 低层 ,隐蔽 性 更 高 ,系统 并 不 会 判断 
ARP 缓存 正确 与 否 ,无 法 像 IP 地 址 冲突 那样 给 出 提示 。 而 且 很 多 黑客 工具 可 以 随时 发 送 
ARP 欺骗 数据 包 和 ARP 恢复 数据 包 , 这 样 就 可 以 实现 在 一 台 普通 计算 机 上 通过 发 送 ARP 
数据 包 的 方法 来 控制 网 络 中 任何 一 台 计 算 机 上 网 与 否 ,甚至 还 可 以 直接 对 网 关 进 行 攻击 ,让 
所 有 连接 网 络 的 计算 机 都 无 法 正常 上 网 。 


4.8.1 ARP 欺 骗 攻 击 原理 


当 某 机 器 A 要 向 主机 B 发 送 报 文 时 ,会 查询 本 地 的 ARP 缓存 表 , 找 到 B 的 IP 地 址 对 
应 的 MAC 地 址 后 ,就 进行 数据 传输 。 如 果 未 找到 , 则 广播 一 个 ARP 请 求 报 文 ,请求 IP 地 
址 为 了 B 的 主机 回答 其 物理 地 址 。 网 上 所 有 主机 包括 B 都 收 到 ARP 请 求 , 但 只 有 主机 B 识 
别 自己 的 IP 地 址 ,于 是 向 A 主机 发 回 一 个 ARP 响应 报 文 , 其 中 就 包含 B 的 MAC 地 址 。A 
接收 到 B 的 应 答 后 ,就 会 更 新 本 地 的 ARP 缓存 ,接着 使 用 这 个 MAC 地 址 发 送 数据 。 因 此 ， 
本 地 高 速 缓存 的 这 个 ARP 表 是 本 地 网 络 流通 的 基础 ,并 且 这 个 缓存 是 动态 的 。 

ARP 欺骗 攻击 就 是 通过 伪造 IP 地 址 和 MAC 地 址 实现 ARP 欺骗 的 ,过 程 如 下 。 

(1) 假设 有 这 样 一 个 网 络 ,包含 一 个 Hub 或 交换 机 ,并 连接 了 三 台 机 器 ,依次 是 计算 机 
A, BC 

GOD A 的 地 址 为 IP: 192. 168.1.1,MAC: AA-AA-AA-AA-AA-AA。 
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@ B 的 地 址 为 IP: 192. 168. 1.2,MAC: BB-BB-BB-BB-BB-BB。 

@ C 的 地 址 为 IP: 192. 168. 1. 3,MAC: CC-CC-CC-CC-CC-CC。 

(2) 正常 情况 下 ,在 A 计算 机 上 运行 ARP -A, 查 询 ARP 缓存 表 应 该 出 现 以 下 信息 。 

Interface: 192. 168. 1. 1 on Interface Ox1000003 

Internet Address Physical Address Type 

192. 168. 1. 3 CC-CC-CC-CC-CC-CC dynamic 

(3) 在 计算 机 B 上 运行 ARP 欺骗 程序 ,发 送 ARP 欺骗 包 。 

B 向 A 发 送 一 个 伪造 的 ARP 应 答 , 这 个 应 答 中 的 数据 为 : 发 送 方 IP 地 址 是 192. 168. 
1.3(C 的 IP 地 址 ),MAC 地 址 是 DD-DD-DD-DD-DD-DD(C 的 MAC 地 址 本 来 应 该 是 CC- 
CC-CC-CC-CC-CC, 这 里 被 伪造 了 )。 当 A 接收 到 B 伪造 的 ARP 应 答 , 就 会 更 新 本 地 的 
ARP 缓存 。A 不 知道 这 是 从 B 发 送 过 来 的 ,A 这 里 只 有 192. 168. 1. 3(C 的 IP 地址 ) 和 无 效 
的 DD-DD-DD-DD-DD-DD MAC 地 址 。 

(4) 在 A 计算 机 上 运行 ARP -A 查询 ARP 缓存 信息 ,原来 正确 的 信息 现在 已 经 出 现 了 
错误 。 

Interface: 192. 168. 1. 1 on Interface Ox1000003 

Internet Address Physical Address Type 

192.168.1.3 DD-DD-DD-DD-DD-DD dynamic 

(5) 当 A 计算 机 访问 C 计算 机 (192. 168. 1. 3) 时 ,MAC 地 址 会 被 ARP 错误 地 解析 成 
DD-DD-DD-DD-DD-DD。 

当局 域 网 中 一 台 机 器 反复 向 其 他 机 器 ,特别 是 向 网 关 , 发 送 这 样 无 效 假冒 的 ARP 应 答 
信息 包 时 ,严重 的 网 络 堵塞 就 会 开始 。 由 于 网 关 MAC 地 址 错误 ,所 以 从 网 络 中 计算 机 发 来 
的 数据 无 法 正常 发 送 到 网 关 , 自 然 无 法 正常 上 网 ,这 就 造成 了 无 法 访问 外 网 的 问题 。 另 外 由 
于 很 多 时 候 网 关 还 控制 着 局 域 网 ,这 时 LAN 访问 也 就 出 现 问题 了 。 


4.8.2 ARP 攻击 防护 


目前 对 于 ARP 攻击 防护 主要 有 两 种 方法 : 绑 定 IP 和 MAC. 使 用 ARP 防护 软件 。 

1. 静态 绑 定 

最 常用 的 方法 就 是 做 IP 和 MAC 的 静态 绑 定 ,在 局 域 网 内 把 主机 和 网 关 都 做 IP 和 
MAC 绑 定 。 

欺骗 是 通过 ARP 动态 实时 的 规则 欺骗 内 网 机 器 ,所 以 把 ARP 全 部 设置 为 静态 ,可 以 
解决 对 内 网 计算 机 的 欺骗 ,同时 在 网 关 也 要 进行 IP 和 MAC 的 静态 绑 定 ,这 样 双向 绑 定 才 
比较 保险 。 

IP 和 MAC 地 址 静态 绑 定 可 以 通过 命令 “arp -s IP MAC 地 址 ?实现 ,如 arp -s 192. 168. 10. 1 
AA-AA-AA-AA-AA-AA。 

当然 ,对 于 网 络 中 的 每 一 台 主 机 都 做 静态 绑 定 , 工 作 量 是 非常 大 的 ,并 且 在 计算 机 每 次 
重启 后 ,都 必须 重新 绑 定 。 

2. 使 用 ARP 防护 软件 

ARP 类 防护 软件 的 工作 原理 是 过 滤 所 有 的 ARP 数据 包 , 对 每 个 ARP 应 答 进 行 判断 ， 


242 信息 对 抗 与 网 络 安全 (第 3 版 ) 


只 有 符合 规则 的 ARP 包 才 会 被 进一步 处 理 , 这 样 , 就 防御 了 计算 机 被 欺骗 。 同 时 ,对 每 一 
个 发 送出 去 的 ARP 应 答 都 进行 检测 ,只 有 符合 规则 的 ARP 数据 包 才 会 被 发 送出 去 ,这 样 
就 实现 了 对 发 送 攻击 的 拦截 。 如 图 4-121 所 示 的 是 360ARP 防火 墙 的 拦截 界面 。 


总 防火 二 


保护 次 态 | 针 S 轩 | 万 Kip 杂 | kx 这 ] 


A 您 的 系统 正牌 受 ARP 攻 击 
建议 联系 系统 所 在 网 段 的 网 管 进行 检查 


本 次 攻击 开始 时 间 : 2008-01-01 09;59-33 
本 次 攻击 结束 时 间 : 2008-01-01 09;59.33 
攻击 源 IF ; 192 168 1.101 

本 次 攻击 累计 拦截 次 次 : 122 


查看 ARP 防 火 墙 拦 培 历史 

重要 提示 : 

您 的 系统 正在 遭受 AR 攻击， 请 联系 您 的 系统 所 在 
网 自 的 网 管 进行 检查 。 


本 次 攻击 源 IP : 192. 168.1. 101 
本 次 攻击 源 WAC : 00-03-0D-30-09-7F 
攻击 源 机 器 名 : NTCBDSOF-9869F4 


图 4-121 ARP 防护 软件 拦截 界面 


4.9 数据 库 攻击 


数据 库 在 许多 企业 中 没有 得 到 恰当 的 安全 保护 ,黑客 利用 非常 简单 的 攻击 ,如 弱 口 令 、 
不 严谨 的 配置 .未 打 补丁 等 已 知 漏洞 ,进入 数据 库 。 


4.9.1 SQL 注入 攻击 


SQL 注入 就 是 利用 程序 员 对 用 户 输入 数据 的 合法 性 检测 不 严 或 不 检测 的 特点 ,故意 从 
客户 端 提 交 特 殊 的 代码 ,然后 收集 程序 及 服务 器 的 信息 ,从 而 获取 相关 资料 的 一 种 攻击 
行为 。 

1. SQL 注入 攻击 基本 原理 

打开 浏览 器 ,执行 “工具 ”|*Internet 选项 ”1“ 高 级 ”, 将 “显示 友好 HTTP 错误 信息 ”前 
面 的 勾 去 掉 , 如 图 4-122 所 示 。 否 则 ,无 论 服 务 器 返回 什么 错误 ,IE 都 只 显示 “HTTP 500 服 
务 器 错误 ” ,不 能 获得 更 多 的 提示 信息 。 

对 于 SQL Server 数据 库 ,如 果 服 务 器 IIS 提示 没 关 闭 ,并 日 SQL Server 返回 错误 提示 
的 话 , 就 可 以 直接 从 出 错 信 息 中 获取 相关 资料 。 

在 浏览 器 中 输入 网 址 http://www. *xx .com/show. asp?id 一 123 and user 二 0, 服 务 器 
将 进行 Select * from 表 名 where 字段 二 123 and user 二 0 这 样 的 查询 ,然后 将 查询 结果 返 
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Internet 选项 


党 规 [安全 [隐私 [内 容 [连接 | 程序 高 级 | 
设置 @): 


回 使 用 被 动 FTP 内 防 火 墙 和 TSL 调制 解 调 器 兼容 性 ) 
口 使 用 平 洽 滚 动 
口 使 用 直接 插入 自动 完成 功能 


回 为 FTP 站 点 启用 文件 来 视图 
口 下 载 完成 后 发 出 通知 

口 3 
日 好 


日 人 iL 

回 加 

回 允许 

回 thi * 转 到 ”按钮 

回 重新 使 用 咎 动 快捷 方式 的 窗口 

口 自动 检查 Internet Explorer 更 新 
总 是 以 WF-8 发 送 VEL (十 要 重启 动 ) 


DT | 图 


还 原 默认 设置 EB) 


取消 ] LE 用 ] 


图 4-122 ”Internet 选项 设置 


回 给 客户 端 浏览 器 。 

前 面 的 语句 是 正常 的 ,重点 在 and user 二 0。user 是 SQL Server 的 一 个 内 置 变量 , 它 的 
值 是 当前 连接 的 用 户 名 ,类 型 为 nvarchar。 拿 一 个 nvarchar 的 值 跟 int 的 数 0 比较 ,系统 会 
试图 将 nvarchar 的 值 转 成 int 型 ,在 转换 的 过 程 中 肯定 会 出 错 ,SQL Server 的 出 错 提示 
如 下 。 

错误 类 型 : 

Microsoft OLE DB Provider for ODBC Drivers (0x80040E07) 

[Microsoft][ODBC SQL Server Driver][SQL Server] 将 nvarchar 值 'xyz' 转换 为 数据 类 型 为 int 的 列 

时 发 生 语法 错误 。 

show.asp, 第 47 行 

别有用心 的 人 从 “将 nvarchar 值 'xyz' 转 换 为 数据 类 型 为 int 的 列 时 发 生 语法 错误 ”这 个 
出 错 信息 中 获得 以 下 信息 : xyz 是 变量 user 的 值 ,这样 ,不 费 吹 灰 之 力 就 拿 到 了 数据 库 的 用 
户 名 。 

当然 整个 过 程 是 很 烦琐 的 ,而 且 要 花费 很 多 的 时 间 ,漏洞 入 侵 的 成 本 很 高 。 如 果 只 能 以 
这 种 手动 方式 进行 SQL 注入 入侵 的 话 ,那么 许多 存在 SQL 注入 漏洞 的 ASP 网 站 就 会 安全 
很 多 。 但 是 如 果 利 用 专门 的 黑客 工具 来 人 侵 的 话 ,情况 就 大 大 不 同 了 。 手 动 方式 进行 SQL 
注入 入侵 至 少 需 要 半天 或 一 天 乃至 更 多 的 时 间 , 而 利用 专门 的 工具 入 侵 只 需要 几 分 钟 的 时 
间 , 如 图 4-123 所 示 。 

SQL 注入 通过 网 页 对 网 站 数据 库 进行 修改 , 它 能 够 直接 在 数据 库 中 添加 具有 管理 员 权 
限 的 用 户 , 从 而 最 终 获得 系统 管理 员 权 限 。 黑 客 可 以 利用 获得 的 管理 员 权 限 任意 获得 网 站 
上 的 文件 或 者 在 网 页 上 加 挂 木马 和 各 种 恶意 程序 ,对 网 站 和 访问 该 网 站 的 用 户 造成 巨大 
危害 。 
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1 挖 握 鸡 v7-0 。[ 马 风 窝 出 品 ] 
关键 词 :[[ 目 动产 生 ] |] 超时 吵 ) Po 全 重 试 次 数 :下 习 重启 可 隔 吵 ) 站 5 人 | ”线程 数 :| 圭 | 扫描 模式 : 隔 确 z| > 加 
选项 。 后 如 [52/220] | 结果 | 
后 蝇 文 件 各 。 [后 跟 径 组 ”| 特征 字 审 (unigue str) | 备注 (memo) 
QLinj 让 组 建议 用 类 伺 inurl: asp 形式 的 关键 局. 
Microsoft OLE 
Microsoft OLE 
直 b_owner 权 限 的 S9l 注 入 漏洞, 关键 词 形 式 
1 SA 权限 的 sqL 注 入 漏洞 , 关键 词 形式 inurl. 
Microsoft OLE 
Microsoft OLE 
Microsoft OLE 


Mcrosoft OLE 
/NenxConment. 转换 为 数据 类 型 动易 2006 SP4 SQL 版 注入 漏洞 更 有 效 。 


Mierosoft OLE 
回 ¥ Microsoft OLE 
由 - 口 PPinj 
由 口 Socket 本 组 直接 格 抓 包 的 数据 贴 到 文件 名 即 可 ， 
由 -器 敏感 信息 文件 名 为 + 时 个 略 后 退 ， 直接 扫 原始 URL。 
田口 上 传 漏洞 
田口 网 小 
晶 数据 库 常用 默认 数据 库 路 径 。 
动 网 建议 关键 词 : :nurl:lvbbs 


Hdb/cond2.ndb / application/x- 企业 网 站 模板 

sql. rar 了 rarl sg 数据 库 备份 。 
data asp 了 mh/ [nhxyf 第 用 默认 数据 库 路 径 
LeadBBS. mdb af application/x- 


(a) 挖掘 机 


D 啊 D 注 入 工具 V2. 32 ”http:/VVwww-wrsky- com/ 


| 啊 D 注 入 工具 http:77www wr sky. eon/ 


(b) 啊 D 注 入 
图 4-123 数据 库 入 侵 工 具 
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2. 防范 SQL 注入 攻击 

要 防范 SQL 注入 攻击 ,在 设计 的 时 候 就 要 对 SQL 语句 的 变量 进行 过 滤 处 理 , 把 所 有 客 
户 提交 上 来 的 东西 都 先 检 查 一 遍 , 看 看 有 没有 SQL 注入 常用 到 的 关键 字 。SQL 通用 防 注 
和 人 系统 的 相关 代码 如 下 。 


If Request. Form <>"" Then StopInjection(Request. Form) 
If Request. QueryString <>"" Then StopInjection(Request. QueryString) 
If Request. Cookies <>"" Then StopInjection(Request. Cookies) 
Function StopInjection(values) 
For Each N_Get In values 
If Sec_Form open = 1 Then 
"response. write SelfName 
For N_i=0 To UBound(Sec Form) 
"response. write SelfName 
"response. write Sec_Form(N_i) 
If Instr(LCase(SelfName),Sec_Form(N_i))> 0 Then 
Exit Function 
else 
Select_BadChar(values) 
End If 
Next 
Else 
Select BadChar(values) 
End If 
Next 
End Function 
Function Select_BadChar(values) 
For N_Xh = 0 To Ubound(N_Inf) 
If Instr(LCase(values(N Get)),N_ Inf(N_Xh))<>0 Then 
If WriteSql = 1 Then InsertInfo(values) 
N Alert(alert_info) 
Response. End 
End If 
Next 
End Function 


4.9.2 暴 库 攻击 


SQL 注入 攻击 的 目的 是 要 得 到 数据 库 中 的 用 户 名 、 密 码 等 ,如 果 不 用 注入 就 可 以 得 到 
整个 数据 库 ,不 是 更 好 吗 ? 于 是 暴 库 成 了 一 个 比 注入 更 简单 的 入侵 手段 。 

2012 年 ,网 站 遭遇 黑客 攻击 的 事件 频频 发 生 , 暴 库 的 案例 时 有 发 生 。 所 谓 暴 库 , 是 指 黑 
客人 侵 网 站 后 将 网 站 数据 库 中 的 数据 导出 。 而 黑客 暴 库 的 主要 目标 就 是 窃取 用 户 的 账号 、 
E-mail 和 密码 。 

国内 方面 ,2012 年 6 月 , 某 知名 网 址 导航 被 曝 因 SQL 注入 漏洞 致使 大 量 用 户 的 详细 资 
料 泄露 ; 12 月 ,国内 某 著 名 电 商 网 站 曝 出 验证 码 设计 缺陷 ,用 户 认证 缺陷 ,可 被 暴力 破解 ， 
导致 大 量 账 号 信息 泄露 。 

国际 方面 ,2012 年 1 月 ,亚马逊 旗下 的 电子 商务 网 站 Zappos 被 黑客 入 侵 ,2400 万 用 户 
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的 账户 信息 被 窃取 ,被 窃 信 息 包 括 用 户 姓名 .电子 邮件 .电话 号 码 、 住 址 .信用 卡号 的 最 后 四 
位 等 。6 月 ,1500 万 eHarmony( 相 亲 网 站 ) 密 码 和 3 万 LinkedIn( 社 交 网 站 ) 密 码 被 破解 , 遭 
破解 的 账号 和 密码 被 公布 在 网 络 论 坛 上 。7 月 ,雅虎 旗下 网 站 Yahoo Voice 遭 黑 客 攻 击 ， 
45. 3 万 用 户 信息 被 曝光 在 网 上 ,被 张贴 在 网 上 的 信息 包括 用 户 名 和 明文 密码 。 

一 个 网 站 遭遇 暴 库 , 其 他 网 站 的 用 户 账号 也 会 受到 威胁 。 因 为 暴 库 还 有 一 个 叫 作 撞 号 
的 “ 挛 生 兄弟 ”。 所 谓 撞 号 ,就 是 黑客 利用 已 经 窃取 的 账号 和 密码 ,到 其 他 网 站 上 进行 批量 的 
尝试 登录 (通常 都 是 由 编写 程序 自动 执行 的 )。 如 果 登 录 成 功 , 则 撞 号 成 功 。 

由 于 很 多 国内 用 户 习 惯 于 在 多 个 网 站 上 使 用 相同 账号 和 密码 ,因此 ,黑客 的 撞 号 成 功率 
实际 上 很 高 ,一 般 可 以 达到 10% 以上。 事实 上 , 当 一 个 用 户 在 多 个 网 站 上 使 用 相同 的 账号 
和 密码 时 ,安全 性 最 差 的 一 个 网 站 就 决定 了 这 套 账 号 和 密码 的 安全 级 别 。 

1. 暴 库 攻击 基本 原理 

比较 流行 的 暴 库 法 包括 %5c 暴 库 法 和 conn. asp 暴 库 法 。 

对 于 包含 asp?id 王 地 址 的 网 页 ,如 www. *#xx .com/yddown/view. asp?id 一 3, 在 打开 
网 页 时 ,把 网 址 中 的 / 换 成 %5c, 如 www. xxx .com/yddown%5cview. asp?id 一 3, 然 后 提 
交 , 就 可 以 暴 出 数据 库 的 路 径 。 

%5c 实际 上 是 \ 的 十 六 进 制 代 码 , 即 \ 的 另 一 种 表示 方法 。 

在 ASP 中 调用 数据 库 时 ,都 会 用 到 一 个 连接 数据 库 的 文件 conn. asp, 它 会 创建 一 个 数 
据 库 连 接 对 象 ,定义 要 调用 的 数据 库 路 径 , 如 


DBPath = Server.MapPath("admin/rds_dbd32rfd213fg.mdb") 


连接 数据 库 时 ,Server. MapPath 方法 将 网 站 中 的 相对 路 径 转变 成 物理 上 的 绝对 路 径 。 

当 Server. MapPath 方法 将 相对 路 径 转 为 真实 路 径 时 , 它 实 际 是 由 三 部 分 路 径 加 在 一 
起 得 到 的 : 网 页 目前 执行 时 所 在 的 相对 路 径 , 也 就 是 从 网 站 物理 根 目录 起 的 相对 路 径 , 如 
conn. asp 位 于 根 目 录 的 /yddown/ 目 录 下 ; 然后 调用 的 数据 库 的 相对 路 径 admin/rds_ 
dbd32rfd213fg. mdb, 这 样 就 得 到 从 根 目录 起 的 完整 相对 路 径 : /yddown/admin/rds_ 
dbd32rfd213fg. mdb。 

设置 IIS 时 ,每 一 个 网 站 都 必须 指定 它 在 硬盘 上 的 物理 目录 ,如 网 站 根 目录 所 在 的 物理 
目录 为 D:\111。Server. MapPath 方法 通过 “网 站 根 目录 的 物理 地 址 十 完整 的 相对 路 径 ”， 
从 而 得 到 真实 的 物理 路 径 。 这样 ,数据库 在 硬盘 上 的 物理 路 径 是 : D:\111\yddown\admin\ 
rds_dbd32rfd213fg. mdb。 

暴 库 的 基本 原理 就 是 当 提 交 www. *x*x. com/yddown%5cview. asp?id 王 3 时 ,view. 
asp 调用 conn. asp, 得 到 网 页 相对 路 径 /yddown\, 再 加 上 admin/rds_dbd32rfd213fg. mdb， 
就 得 到 /yddown\ 十 admin/rds_dbd32rfd213fg. mdb。 在 IIS 中 ,/ 和 \ 代 表 着 不 同 的 意义 , 遇 
到 \ 时 ,IIS 认为 它 已 到 了 根 目录 所 在 的 物理 路 径 ,不 再 往 上 解析 ,于 是 网 站 的 完整 相对 路 径 
变 成 了 admin/rds_dbd32rfd213fg. mdb, 再 加 上 根 目录 的 物理 路 径 , 得 到 的 真实 路 径 变 成 
D:\111\admin\rds_dbd32rfd213fg. mdb, 而 这 个 路 径 是 不 存在 的 ,数据 库 连接 当然 会 失败 ， 
于 是 IIS 会 报错 ,并 给 出 错误 原因 : 


Microsoft JET Database Engine 错误 '80004005 
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'D:\111\admin\rds_dbd32rfd213fg. mdb' 不 是 一 个 有 效 的 路 径 。 确 定 路 径 名 称 拼写 是 
否 正 确 , 以 及 是 否 连 接 到 文件 存放 的 服务 器 。 


/yddown/conn.asp, 行 12 


这 样 ,就 暴 出 了 数据 库 rds_dbd32rfd213fg. mdb 的 路 径 。 下 载 该 数据 库 后 ,通过 对 数据 
库 中 表 的 关键 字段 进行 MD5 破解 ,就 可 以 得 到 用 户 名 和 密码 了 。 

%5c 暴 库 法 利用 了 绝对 路 径 出 错 暴 出 数据 库 路 径 , 而 conn. asp 暴 库 法 则 利用 了 相对 
路 径 出 错 暴 出 数据 库 路 径 。 

如 动力 文章 系统 的 conn. asp 位 于 系统 的 inc 目录 下 ,而 很 多 调用 它 的 文件 ,如 User_ 
ChkLogin. asp, 在 系统 根 目录 下 。 这 样 , 当 conn. asp 执行 时 , 它 是 在 系统 根 目 录 D:\ 
wwwroot\zyx688\wwwroot\ 下 执行 的 ,因此 ,在 conn. asp 文件 中 调用 数据 库 时 ,考虑 到 执 
行 时 的 目录 路 径 , 数 据 库 的 相对 地 址 写成 如 下 : 

dim db 

db= "database/fp360609.asp" 

这 样 , 当 它 在 系统 根 目录 下 执行 时 ,数据 库 的 相对 路 径 在 根 目 录 下 的 database 目录 内 。 
但 在 直接 请 求 它 时 , 它 工 作 的 当前 目录 是 在 根 目录 下 的 INC 目录 内 ,这 时 ,数据 库 的 相对 路 
径 就 变 成 了 inc/database/fp360609. asp, 多 出 了 inc, 它 当然 出 错 。 

2. 防范 爆 库 攻击 

暴 库 是 因为 IIS 服务 器 会 对 每 个 执行 错误 给 出 详细 说 明 , 并 停止 执行 ,而 IIS 的 默认 设 
置 又 将 错误 信息 返回 给 用 户 。 因 此 ,要 避免 暴 库 ,就 应 改变 IIS 的 默认 设置 ,选取 错误 时 只 
给 一 个 出 错 的 页 面 ,如 “处 理 URL 时 服务 器 出 错 。 请 与 系统 管理 员 联 系 ”, 而 不 给 详细 
信息 。 

作为 网 站 管理 者 ,如 果 无 法 对 虚拟 主机 设置 ,只 要 在 可 能 出 错 的 页 面 ,特别 是 在 conn. 
asp 文件 中 ,添加 以 下 语句 ， 


On Error Resume Next 


这 样 , 当 出 错时 ,恢复 执行 下 面 的 语句 ,也 就 是 不 理会 出 错 ,这 样 就 不 会 给 出 错误 信 
息 了 。 


4.10 防 火 墙 


互联 网 的 资源 共享 与 开放 模式 ,为 生活 带 来 了 方便 ,但 网 络 安全 问题 也 日 益 突出 ,使 用 
防火 墙 可 以 有 效 地 防御 大 多 数 来 自 网 络 的 攻击 。 


4.10.1 基本 概念 


防火 墙 的 本 义 是 指 古 代 人 们 在 房屋 之 间 修 建 的 一 道 墙 ,这 道 墙 可 以 防止 火灾 发 生 的 时 
候 蔓延 到 别 的 房屋 。 而 这 里 所 说 的 防火 墙 当然 不 是 指 物理 上 的 防火 墙 ,而 是 指 隔离 在 本 地 
网 络 与 外 界 网 络 之 间 的 一 道 防御 系统 ,是 这 一 类 防范 措施 的 总 称 。 
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防火 墙 是 建立 在 内 外 网 络 边界 上 的 过 滤 封锁 机 制 , 内 部 网 络 被 认为 是 安全 的 和 可 以 信 
赖 的 ,而 外 部 网 络 (通常 是 Internet) 被 认为 是 不 安全 的 和 不 可 信赖 的 。 防 火 墙 的 作用 是 防 
止 不 希望 的 ,未 经 授权 的 通信 进出 被 保护 的 内 部 网 络 , 通 过 边界 控制 强化 内 部 网 络 的 安全 。 
防火 墙 在 网 络 中 的 位 置 如 图 4-124 所 示 。 


图 4-124 ”防火墙 在 网 络 中 的 位 置 


防火 墙 通常 是 运行 在 一 台 或 者 多 台 计算 机 之 上 的 一 组 特别 的 服务 软件 ,用 于 对 网 络 进 
行 防护 和 通信 控制 。 但 是 在 很 多 情况 下 防火 墙 以 专门 的 硬件 形式 出 现 , 这 种 硬件 也 被 称 为 
防火 墙 , 它 是 安装 了 防火 墙 软件 ,并 针对 安全 防护 进行 了 专门 设计 的 网 络 设备 ,本 质 上 还 是 
软件 在 控制 。 

防火 墙 一 般 安放 在 被 保护 网 络 的 边界 ,要 使 防火 墙 起 到 安全 防护 的 作用 ,必须 做 到 以 下 
几 点 : 

(1) 所 有 进出 被 保护 网 络 的 通信 必须 通过 防火 墙 。 

(2) 所 有 通过 防火 墙 的 通信 必须 经 过 安全 策略 的 过 滤 或 者 防火 墙 的 授权 。 

(3) 防火 墙 本 身 是 不 可 被 侵入 的 。 

1. 防火 墙 的 目的 和 功能 

使 用 防火 墙 的 目的 包括 以 下 几 个 方面 : 

(1) 限制 他 人 进入 内 部 网 络 。 

(2) 过 滤 掉 不 安全 的 服务 和 非法 用 户 。 

(3) 防止 入 侵 者 进入 内 部 网 络 。 

(4) 限定 对 特殊 站 点 的 访问 。 

(5) 监视 局 域 网 的 安全 。 

防火 墙 具 有 的 功能 包括 : 

1) 访问 控制 功能 

这 是 防火 墙 最 基本 也 是 最 重要 的 功能 ,通过 禁止 或 允许 特定 用 户 访问 特定 的 资源 ,保护 
网 络 的 内 部 资源 和 数据 。 禁 止 非 授权 的 访问 ,识别 哪个 用 户 可 以 访问 何 种 资源 。 

2) 内 容 控 制 功能 

根据 数据 内 容 进行 控制 ,如 防火 墙 可 以 从 电子 邮件 中 过 滤 掉 垃圾 邮件 ,可 以 过 滤 掉 内 部 
用 户 访 问 外 部 服务 的 图 片 信息 ,也 可 以 限制 外 部 访问 ,使 它们 只 能 访问 本 地 Web 服务 器 中 
的 一 部 分 信息 。 

3) 全 面 的 日 志 功 能 

完整 地 记录 网 络 访问 情况 ,包括 内 外 网 进出 的 访问 。 记 录 访 问 是 什么 时 候 发 生 的 ,进行 
了 什么 操作 ,以 检查 网 络 访问 情况 。 就 如 银行 的 录像 监视 系统 ,记录 下 整体 的 营业 情况 ,一 
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且 有 什么 事 发 生 , 就 可 以 看 录像 , 查 明 事实 。 防 火 墙 的 日 志 系 统 也 有 类 似 的 作用 ,一 旦 网 络 
发 生 了 入 侵 或 者 遭 到 破坏 ,就 可 以 对 日 志 进 行 审计 和 查询 。 

4) 集中 管理 功能 

防火 墙 是 一 个 安全 设备 ,针对 不 同 的 网 络 情况 和 安全 需要 ,需要 制定 不 同 的 安全 策略 ， 
然后 在 防火 墙 上 实施 ,使 用 中 还 需要 根据 情况 改变 安全 策略 ,而 且 在 一 个 安全 体系 中 ,防火 
墙 可 能 不 止 一 台 , 所 以 防火 墙 应 该 是 易于 集中 管理 的 ,这 样 管理 员 就 可 以 很 方便 地 实施 安全 
策略 。 

5) 自身 的 安全 和 可 用 性 

防火 墙 要 保证 自身 的 安全 ,不 被 非法 侵入 ,保证 正常 的 工作 。 如 果 防 火 墙 被 侵入 ,防火 
墙 的 安全 策略 被 修改 ,那么 内 部 网 络 就 变 得 不 安全 。 防 火 墙 也 要 保证 可 用 性 ,否则 网 络 就 会 
中 断 ,网 络 连接 就 失去 意义 。 

2. 防火 墙 的 局 限 性 

安装 防火 墙 并 不 能 做 到 绝对 安全 , 它 有 许多 不 足 之 处 : 

(1) 防火 墙 不 能 防范 不 经 由 防火 墙 的 攻击 。 

例如 ,如 果 人 允许 从 受 保护 网 内 部 不 受 限制 地 向 外 拨号 ,一 些 用 户 可 以 形成 与 Internet 直 
接 的 连接 ,从 而 绕 过 防火 墙 , 造 成 一 个 潜在 的 后 门 攻击 渠道 。 

(2) 防火 墙 不 能 防止 感染 了 病毒 的 软件 或 文件 的 传输 。 

只 能 在 每 台 主 机 上 装 反 病毒 软件 。 因 为 病毒 的 类 型 太 多 ,操作 系统 也 有 多 种 ,不 能 期 望 
防火 墙 去 对 每 一 个 进出 内 部 网 络 的 文件 进行 扫描 , 查 出 潜在 的 病毒 ,否则 ,防火 墙 将 成 为 网 
络 中 最 大 的 瓶颈。 

(3) 防火 墙 不 能 防止 数据 驱动 式 攻 击 。 

有 些 表面 看 起 来 无 害 的 数据 通过 电子 邮件 发 送 或 者 其 他 方式 复制 到 内 部 主机 上 ,一旦 
被 执行 就 形成 攻击 。 攻 击 可 能 导致 主机 修改 与 安全 相关 的 文件 ,使 得 入 侵 者 很 容易 获得 对 
系统 的 访问 权 。 

(4) 防火 墙 不 能 防范 恶意 的 内 部 人 员 侵 入 。 

内 部 人 员 了 解 内 部 网 络 的 结构 ,如果 他 从 内 部 入 侵 主机 ,或 进行 一 些 破坏 活动 ,因为 该 
通信 没有 通过 防火 墙 ,所 以 防火 墙 无 法 阻止 。 

(5) 防火 墙 不 能 防范 不 断 更 新 的 攻击 方式 。 

防火 墙 的 安全 策略 是 在 已 知 的 攻击 模式 下 制定 的 ,所 以 对 全 新 的 攻击 方式 缺少 阻止 功 
能 。 防 火 墙 不 能 自动 阻止 全 新 的 侵入 ,所 以 以 为 安装 了 防火 墙 就 可 以 高 枕 无 忧 的 思想 是 危 
险 的 。 


4.10.2 防火墙 技术 


防火 墙 技术 几乎 与 路 由 器 同时 出 现 , 最 早 的 防火 墙 采 用 了 包 过 滤 技术 。 图 4-125 是 防 
火 墙 技术 的 发 展 历史 。 

1989 年 ,贝尔 实验 室 的 Dave Presotto 和 Howard Trickey 推出 了 电路 层 防火 墙 ,同时 
提出 了 应 用 层 防 火 墙 (代理 防火 墙 ) 的 初步 结构 。 

1992 年 ,USC 信息 科学 院 的 BobBraden 开发 出 了 基于 动态 包 过 滤 技 术 的 防火 墙 ,后 来 
演变 为 状态 检测 技术 。1994 年 ,以 色 列 的 CheckPoint 公司 开发 出 了 第 一 个 采用 这 种 技术 
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动态 包 过 滤 


自 适应 代理 
代理 
包 过 滤 电路 层 
1980 | 1990 2000 
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图 4-125 ”防火墙 技术 的 发 展 简 史 


的 商业 化 的 产品 。 

1998 年 ,NAI 公司 推出 了 一 种 自 适应 代理 技术 ,并 在 其 产品 Gauntlet Firewall for NT 
中 得 以 实现 ,给 代理 类 型 的 防火 墙 赋 予 了 全 新 的 意义 。 

1. 包 过 滤 技 术 

包 过 滤 技术 是 防火 墙 在 网 络 层 中 根据 数据 包 中 包头 信息 有 选择 地 实施 允许 通过 或 阻 
断 。 依 据 防火 墙 事先 设 定 的 过 滤 规 则 ,检查 数据 流 中 每 个 数据 包头 部 ,根据 数据 包 的 源 地 
址 .目的 地 址 、TCP/UDP 源 端口 号 .TCP/UDP 目的 端口 号 及 数据 包头 中 的 各 种 标志 位 等 
因素 来 确定 是 否 允 许 数据 包 通 过 ,其 核心 是 安全 策略 即 过 滤 规 则 的 设计 。 

包 过 滤 防 火 墙 通常 工作 在 网 络 层 , 因 此 也 称 为 网 络 层 防 火 墙 。 包 过 滤 对 单个 包 实 施 控 
制 ,根据 数据 包 内 部 的 源 地 址 .目的 地 址 ,协议 类 型 . 源 端 口号 及 目的 端口 号 .各 种 标志 位 以 
及 ICMP 消息 类 型 等 参数 与 过 滤 规 则 进行 比较 ,判断 数据 是 否 符合 预先 制定 的 安全 策略 ,从 
而 决定 数据 包 的 转发 或 丢弃 。 

包 过 滤 技 术 的 发 展 经 历 了 两 个 阶段 : 静态 包 过 滤 和 动态 包 过 滤 。 

1) 静态 包 过 滤 技 术 

静态 包 过 滤 技 术 是 指 根据 定义 好 的 过 滤 规 则 审查 每 个 数据 包 , 以 确定 其 是 否 与 某 一 条 
包 过 滤 规 则 匹配 ,过 滤 规则 是 基于 数据 包 的 报头 信息 制定 的 ,通常 也 被 称 为 访问 控制 表 。 静 
态 包 过 滤 防 火 墙 工作 方式 如 图 4-126 所 示 。 

2) 动态 包 过 滤 技 术 

动态 包 过 滤 技 术 采 用 动态 设置 包 过 滤 规 则 的 方法 ,避免 了 静态 包 过 滤 技 术 所 带 来 的 不 
灵活 问题 。 采 用 这 种 技术 的 防火 墙 对 通过 其 建立 的 每 一 个 连接 都 进行 跟踪 ,并 且 根 据 需 要 
动态 地 在 过 滤 规 则 中 增加 或 更 新 条 目 。 动 态 包 过 滤 工 作 方式 如 图 4-127 所 示 。 


外 网 主机 防火 墙 内 网 主机 
外 网 主机 防火 墙 内 网 主机 ee die es 
本 二 传输 导 传输 传输 导 
传输 导 传输 层 传输 层 四 缚 属 网络 屋 二 E> 
i Le 链 路 层 链 路 层 
链 路 层 链 路 层 链 路 层 连接 状态 
图 4-126 静态 包 过 滤 防 火 墙 图 4-127 动态 包 过 滤 防 火 墙 


包 过 滤 技 术 作为 防火 墙 的 应 用 有 两 类 : 一 是 路 由 设备 在 完成 路 由 选择 和 数据 转发 之 
外 ,同时 进行 包 过 滤 ,这 是 目前 较 常 用 的 方式 ; 二 是 在 一 种 称 为 屏蔽 路 由 器 的 路 由 设备 上 局 
动 包 过 滤 功能 。 
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基于 包 过 滤 技 术 的 防火 墙 实 现 起 来 比较 简单 ,因此 包 过 滤 技 术 在 防火 墙 上 的 应 用 非常 
广泛 。 由 于 CPU 用 来 处 理 包 过 滤 的 时 间 相 对 很 少 ,而 且 这 种 防护 措施 对 用 户 透 明 , 合 法 用 
户 在 进出 网 络 时 ,根本 感觉 不 到 它 的 存在 ,使 用 起 来 很 方便 。 

但 是 其 缺点 也 是 非常 明显 的 。 首 先 , 在 机 器 中 配置 包 过 滤 规 则 比较 困难 。 其 次 , 当 过 滤 
规则 增加 到 一 定数 量 的 时 候 , 由 于 频繁 的 匹配 工作 会 导致 网 络 性 能 直线 下 降 。 最 后 , 包 过 滤 
技术 无 法 抵御 一 些 特殊 形式 的 攻击 。 

包 过 滤 技术 由 于 本 身 的 缺陷 性 ,现在 已 经 逐渐 为 其 他 技术 所 取代 。 

2. 应 用 代理 技术 

所 谓 应 用 代理 技术 是 指 在 Web 主机 上 或 在 单独 一 台 计 算 机 上 运行 代理 服务 器 软件 , 监 
测 、 俩 听 来 自 网 络 上 的 信息 ,对 访问 内 部 网 的 数据 起 到 过 小 作用 ,从 而 保护 内 网 锡 受 破坏 . 

代理 服务 器 作用 在 应 用 层 , 它 用 来 提供 应 用 层 服务 的 控制 ,在 内 部 网 络 向 外 部 网 络 申请 
服务 时 起 到 中 转 作 用 。 内 部 网 络 只 接受 代理 提出 的 服务 请 求 ,拒绝 外 部 网 络 其 他 节点 的 直 
接 请 求 。 

具体 地 说 ,代理 服务 器 是 运行 在 防火 墙 主机 上 的 专门 的 应 用 程序 。 防 火 墙 主机 可 以 是 
具有 一 个 内 部 网 络 接口 和 一 个 外 部 网 络 接口 的 双重 宿主 主机 ,也 可 以 是 一 些 可 以 访问 
Internet 并 被 内 部 主机 访问 的 堡 人 又 主机。 这些 程序 接受 用 户 对 Internet 服务 的 请 求 ( 如 
FTP、Telnet) ,并 按照 一 定 的 安全 策略 将 它们 转发 到 实际 的 服务 中 。 

代理 服务 可 以 实现 用 户 认 证 .详细 日 志 、 审 计 跟 踪 和 数据 加 密 等 功能 ,并 实现 对 具体 协 
议 及 应 用 的 过 滤 。 这 种 防火 墙 能 完全 控制 网 络 信息 的 交换 ,控制 会 话 过 程 , 具 有 灵活 性 和 安 
全 性 ,但 可 能 影响 网 络 的 性 能 ,对 用 户 不 透明 , 且 对 每 一 种 服务 都 要 设计 一 个 代理 模块 ,建立 
对 应 的 网 关 层 ,实现 起 来 比较 复杂 。 

基于 应 用 代理 技术 的 防火 墙 经 历 了 两 个 发 展 阶段 : 代理 防火 墙 和 自 适应 代理 防火 墙 。 

1) 代理 防火 墙 

第 一 oem 用 层 网 关 防 火 墙 。 这 种 防火 墙 通过 代理 技术 参与 到 一 个 
TCP 连接 的 全 过 程 。 它 一 般 针对 某 一 特定 的 应 用 使 用 特定 的 代理 模块 ,由 用 户 端 的 代理 客 
tmp ei rei ahve 
内 容 本 身 。 当 代理 服务 器 得 到 一 个 客户 的 连接 请 求 时 ,它们 将 核实 客户 请 求 , 并 使 用 特定 的 


安全 代理 应 用 程序 来 处 理 连接 请 求 ,将 处 理 后 。 外 网 主机 而 允 呈 首 疝 至 交 
的 请 求 传递 到 真实 的 服务 器 上 ,然后 接收 服务 | 应 用 县 应 用 层 应 用 层 
器 应 答 , 做 进一步 处 理 后 ,将 答复 交 给 发 出 请 求 | 传输 导 传输 层 传输 层 
的 最 终 客户 。 代 理 服务 器 在 外 部 网 络 向 内 部 网 [六 网 络 层 > 
络 申请 服务 时 发 挥 了 中 转 作用 。 代 理 防 火 墙 的 “| 链 路 层 链 路 层 链 路 层 


工作 方式 如 图 4-128 所 示 。 

应 用 网 关 技术 是 建立 在 网 络 应 用 层 上 的 协 
议 过 滤 , 它 针 对 特别 的 网 络 应 用 服务 协议 即 数 据 过 滤 协 议 ,并 且 能 够 对 数据 包 进行 分 析 并 形 
成 相关 的 报告 。 应 用 网 关 对 某 些 易于 登录 和 控制 所 有 输入 输出 的 通信 环境 给 予 严格 的 控 
制 , 以 防止 有 价值 的 程序 和 数据 被 窃取 。 它 的 另 一 个 功能 是 对 通过 的 信息 进行 记录 ,如 什么 
样 的 用 户 在 什么 时 间 连 接 了 什么 站 点 。 在 实际 工作 中 ,应 用 网 关 一 般 由 专用 工作 站 来 完成 。 


图 4-128 代理 防火 墙 
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应 用 层 网 关 的 优点 是 它 易于 记录 并 控制 所 有 的 进出 通信 ,并 对 Internet 的 访问 做 到 内 
容 级 的 过 滤 ,控制 灵活 而 全 面 , 安 全 性 高 。 应 用 级 网 关 具 有 登记 \ 日 志 、 统 计 和 报告 功能 ,有 
很 好 的 审计 功能 ,还 可 以 具有 严格 的 用 户 认证 功能 。 应 用 层 网 关 的 缺点 是 需要 为 每 种 应 用 
写 不 同 的 代码 ,维护 比较 困难 ,另外 就 是 速度 较 慢 。 

2) 自 适应 代理 防火 墙 

自 适应 代理 技术 是 将 代理 技术 与 包 过 滤 技 术 相 结合 而 产生 的 一 种 新 技术 , 仍 属于 应 用 
代理 技术 的 一 种 。 它 结合 了 代理 防火 墙 的 安全 性 和 包 过 滤 防 火 墙 的 高 速度 等 优点 ,在 毫 不 
损失 安全 性 的 基础 上 将 代理 防火 墙 的 性 能 提高 了 数 倍 。 

在 自 适应 代理 防火 墙 中 ,初始 的 安全 检查 仍然 发 生 在 应 用 层 , 一 旦 安全 通道 建立 后 , 随 
后 的 数据 包 就 可 重新 定向 到 网 络 层 。 在 安全 性 方面 , 自 适应 代理 防火 墙 与 标准 代理 防火 墙 
是 完全 一 样 的 ,同时 还 提高 了 处 理 速 度 。 自 适应 代理 技术 可 以 根据 用 户 定义 的 安全 规则 , 动 
态 “ 适 应 ”传送 中 的 数据 流量 。 当 安全 要 求 较 高 时 ,安全 检查 仍 在 应 用 层 中 进行 ,保证 实现 传 
统 防火 墙 的 最 大 安全 性 ; 而 一 旦 可 信任 身份 得 到 认证 ,其 后 的 数据 便 可 直接 通过 速度 快 得 
多 的 网 络 层 。 自 适应 代理 防火 墙 工作 方式 如 图 4-129 所 示 。 


包 过 滤 技术 通过 特定 的 逻辑 判断 来 决定 是 。 外 网 主机 防火 墙 内 网 主机 
否 允 许 特定 的 数据 通过 。 其 优点 是 速度 快 , 实 [启用 屋 应 用 层 应 用 层 | 
现 方便 。 缺 点 是 审计 功能 差 ,过 滤 规 则 的 设计 | 传输 层 传输 层 传输 层 
存在 矛盾 关系 , 即 如 果 过 滤 规 则 简单 . 则 安全 性 ”网线 层 有 到 网 络 层 
差 ; 如 果 过 滤 规 则 复杂 , 则 管理 困难 。 一 旦 判 ”| 链 路 层 链 路 层 链 路 层 


断 条 件 满足 ,防火 墙 内 部 网 络 的 结构 和 运行 状 
态 便 “暴露 "在 外 来 用 户 面 前 。 

代理 技术 则 能 进行 安全 控制 和 加 速 访问 ,有 效 地 实现 防火 墙 内 外 计算 机 系统 的 隔离 , 安 
全 性 好 ,可 以 实现 较 强 的 数据 流 监 控 、 过 滤 、 记 录 和 报告 等 功能 。 其 缺点 是 对 于 每 一 种 应 用 
服务 都 必须 为 其 设计 一 个 代理 模块 来 进行 安全 控制 ,而 每 一 种 网 络 应 用 服务 的 安全 问题 各 
不 相同 ,分 析 困 难 , 因 此 实现 也 困难 。 

在 实际 应 用 中 ,防火墙 通 常 是 多 种 解决 不 同 问题 的 技术 的 有 机 组 合 。 大 多 数 防火 墙 将 
数据 包 过 滤 和 代理 服务 器 结合 起 来 使 用 。 

3. 状态 检测 技术 

状态 检测 技术 是 以 动态 包 过 滤 技 术 为 基础 发 展 起 来 的 。 不 同 于 包 过 滤 和 应 用 代理 技术 
的 基于 规则 的 检测 ,状态 检测 技术 是 基于 连接 状态 的 过 滤 , 它 把 属于 同一 连接 的 所 有 数据 包 
作为 一 个 整体 来 看 待 ,不 仅 检 查 所 有 通信 的 数据 ,还 分 析 先 前 通信 的 状态 。 

状态 检测 技术 采用 了 一 个 在 网 关上 执行 网 络 安全 策略 的 软件 引擎 , 称 为 检测 模块 。 检 
测 模块 在 不 影响 网 络 正 常 工作 的 前 提 下 ,采用 抽取 相关 数据 的 方法 对 网 络 通信 的 各 层 实施 
监测 。 它 把 每 个 合法 网 络 连接 保存 的 信息 (包括 源 地 址 .目的 地 址 .协议 类 型 .协议 相关 信 
息 .连接 状态 和 超时 时 间 等 ) 叫 作 状 态 ,通过 抽取 部 分 状态 信息 ,动态 地 将 其 保存 起 来 ,作为 
以 后 指定 安全 决策 的 参考 。 

要 实现 状态 检测 ,最 重要 的 是 实现 连接 的 跟踪 功能 。 对 于 单一 连接 的 协议 来 说 相对 比 
较 简单 ,只 需要 数据 包头 的 信息 就 可 以 进行 跟踪 。 但 对 于 一 些 复杂 协议 ,除了 使 用 一 个 公开 
端口 的 连接 进行 通信 外 ,在 通信 过 程 中 还 会 动态 建立 子 连 接 进 行 数据 传输 ,而 子 连接 的 端口 


图 4-129 自 适应 代理 防火 墙 
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信息 是 在 主 连接 中 通过 协商 得 到 的 随机 值 。 因 此 对 于 此 类 协议 ,用 包 过 滤 防 火 墙 就 只 能 打 
开 所 有 端口 才能 允许 通信 ,但 这 会 带 来 很 大 的 安全 隐患 。 对 于 状态 检测 防火 墙 , 则 能 够 进 一 
步 分 析 主 连接 中 的 内 容 信 息 ,识别 出 所 协商 的 子 连接 的 端口 ,在 防火 墙 上 将 其 动态 打开 , 连 
接 结束 时 自动 关闭 ,充分 保证 系统 的 安全 。 

状态 检测 技术 改进 了 包 过 滤 技 术 仅 考虑 进出 网 络 的 数据 包 , 而 不 关心 数据 包 状 态 的 缺 
点 ,在 防火 墙 的 核心 部 分 建立 状态 检测 表 , 并 将 进出 网 络 的 数据 当成 一 个 个 的 会 话 , 利 用 状 
态 表 跟踪 每 一 个 会 话 的 状态 。 状 态 检 测 对 每 一 个 包 的 检查 不 仅 根据 规则 表 , 更 考虑 了 数据 
包 是 否 符合 会 话 所 处 的 状态 ,因此 状态 检测 技术 为 防火 墙 提供 了 对 传输 层 的 控制 能 力 。 

尽管 状态 检测 防火 墙 显著 增强 了 简单 包 过 滤 防 火 墙 的 安全 ,但 其 安全 性 仍然 无 法 和 应 
用 代理 防火 墙 相 比 。 其 缺点 在 于 状态 检测 防火 墙 仍然 工作 在 网 络 层 和 传输 层 ,无 法 像 代 理 
防火 墙 那样 做 到 对 连接 的 直接 接管 和 控制 。 


4.10.3 包 过 滤 防火 墙 


包 过 滤 防 火 墙 检 查 所 有 通过 的 数据 包头 部 的 信息 ,并 按照 管理 员 所 给 定 的 过 滤 规则 进 
行 过 滤 。 在 配置 数据 包 过 滤 规 则 之 前 ,需要 明确 允许 或 者 拒绝 什么 服务 ,并 且 需 要 把 策略 转 
换 成 针对 数据 包 的 过 滤 规 则 。 通 过 制定 数据 包 过 滤 规 则 来 控制 哪些 数据 包 能 够 进入 或 者 流 
出 内 部 网 络 。 

数据 包 过 滤 在 网 络 中 起 着 重要 的 作用 ,可 以 在 单 点 位 置 为 整个 网 络 提 供 安全 保护 。 以 
WWW 服务 为 例 , 如 果 不 想 让 外 部 用 户 访问 内 部 的 WWW 服务 ,只 要 在 包 过 滤 路 由 器 上 加 
上 安全 规则 ,禁止 外 部 对 内 部 WWW 服务 的 访问 , 则 无 论 是 否 所 有 的 内 部 网 络 主机 都 启动 
了 WWW 服务 ,它们 都 将 得 到 保护 ,这 样 做 很 容易 也 很 安全 。 数 据 包 过 滤 对 用 户 是 透明 的 ， 
不 要 求 内 部 网 络 用 户 进行 任何 配置 。 

1. 数据 包 过 滤 的 安全 策略 

一 般 的 包 过 滤 防 火 墙 对 数据 包 的 数据 内 容 不 做 任何 检查 ,而 只 检查 数据 包 的 包头 信息 。 
数据 包 过 滤 的 安全 策略 基于 以 下 几 种 方式 : 

(1) 数据 包 的 源 地 址 或 目的 地 址 。 

可 以 根据 IP 协议 中 的 IP 源 地 址 和 IP 目的 地 址 来 制定 安全 规则 ,数据 包 过 滤 面 对 的 最 
普遍 的 IP 选项 字段 是 源 地址 路 由 , 源 地 址 路 由 是 由 数据 包 的 源 地 址 来 指定 到 达 目 的 地 的 路 
由 ,而 不 是 让 路 由 器 根据 其 路 由 表 来 决定 向 何 处 发 送 数据 包 。 

(2) 数据 包 的 TCP/UDP 源 端口 或 目的 端口 。 

可 以 根据 TCP 协议 中 的 源 端口 和 目的 端口 来 制定 安全 规则 ,因为 TCP 的 源 端口 通常 
是 随机 的 ,所 以 通常 不 使 用 源 端口 进行 控制 。 通 过 检查 TCP 标志 字段 ,可 以 辨认 这 个 TCP 
数据 包 是 SYN 包 , 还 是 非 SYN 包 。 检 查 单独 的 SYN 标志 ,就 可 以 知道 它 是 TCP 连接 中 三 
次 握手 中 的 第 一 个 请 求 ,如 果 要 禁止 该 连接 ,只 要 禁止 这 个 包 就 可 以 了 。 

也 可 以 根据 UDP 协议 中 的 源 端口 和 目的 端口 来 制定 安全 规则 。 因 为 UDP 的 源 端口 
通常 是 随机 的 ,所 以 通常 不 使 用 源 端 口 进行 控制 。 

(3) 数据 包 的 标志 位 。 

(4) 用 来 传送 数据 包 的 协议 。 
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2. 数据 包 过 滤 规则 

在 配置 数据 包 过 滤 规则 之 前 ,需要 明确 允许 或 者 拒绝 什么 服务 ,并 且 需 要 把 策略 转换 成 
针对 数据 包 的 过 滤 规 则 。 

在 数据 包 过 滤 规 则 中 有 两 种 基本 的 安全 策略 : 默认 接受 或 默认 拒绝 。 默 认 接 受 是 指 
除非 明确 指定 禁止 某 个 数据 包 , 和 否则 数据 包 是 可 以 通过 的 。 而 默认 拒绝 则 相反 ,除非 明 
确 指定 允许 某 个 数据 包 通 过 ,否则 数据 包 是 不 可 以 通过 的 。 从 安全 的 角度 讲 ,默认 拒绝 
更 安全 。 

在 制定 了 数据 包 规则 后 ,对 于 每 一 个 数据 包 ,路 由 器 会 从 第 一 条 规则 进行 检查 ,直到 
找到 一 个 可 以 匹配 它 的 规则 ,然后 根据 规则 来 决定 是 接受 还 是 拒绝 整个 数据 包 ; 如 果 规 
则 表 中 没有 匹配 的 规则 , 则 根据 设置 的 安全 策略 进行 处 理 ,如 默认 拒绝 , 则 这 个 数据 包 将 
被 拒绝 。 

3. 状态 检测 的 数据 包 过 滤 

当 防 火 墙 接收 到 初始 化 TCP 连接 的 SYN 包 时 ,要 对 这 个 带 有 SYN 的 数据 包 进 行 安全 
规则 检查 。 将 该 数据 包 在 安全 规则 里 依次 比较 ,如 果 在 检查 了 所 有 的 规则 后 ,该 数据 包 都 没 
有 被 接受 ,那么 拒绝 该 次 连接 。 如 果 该 数据 包 被 接受 ,那么 本 次 会 话 的 连接 信息 被 添加 到 状 
态 监 测 表 , 该 表 位 于 防火 墙 的 状态 检测 模块 中 。 对 于 随后 的 数据 包 , 就 将 包 信息 和 该 状态 监 
测 表 中 所 记录 的 连接 内 容 进行 比较 ,如 果 会 话 在 状态 表 内 ,而 且 该 数据 包 状 态 正确 ,该 数据 
包 被 接受 ; 如 果 不 是 会 话 的 一 部 分 ,该 数据 包 被 丢弃 。 

这 种 方式 提高 了 系统 的 性 能 ,因为 不 是 每 一 个 数据 包 都 要 和 安全 规则 比较 。 只 有 在 新 
的 请 求 连接 的 数据 包 到 来 时 才 和 安全 规则 比较 。 所 有 的 数据 包 与 状态 检测 表 的 比较 都 在 内 
核 模式 下 进行 ,所 以 执行 速度 很 快 。 

4. 数据 包 过 滤 的 局 限 性 

数据 包 过 滤 的 局 限 性 表现 如 下 : 

(1) 不 能 进行 内 容 级 控制 。 

例如 对 于 一 个 Telnet 服务 器 ,不 能 做 到 禁止 userl 登录 而 允许 user2 登录 。 因 为 用 户 
名 是 数据 包 内 容 部 分 的 信息 ,过滤 系 统 不 能 辨认 从 而 无 法 控制 。 又 如 不 能 针对 一 个 FTP 服 
务 器 ,允许 用 户 下 载 某 些 文件 ,而 禁止 用 户 下 载 某 些 文件 。 因 为 文件 名 也 属于 数据 包 内 容 
所 以 不 能 辨认 。 

(2) 数据 包 的 过 滤 规 则 制定 比较 复杂 。 

需要 针对 不 同 的 IP 或 者 服务 制定 很 多 的 安全 规则 ,而 且 过 滤 规则 会 存在 冲突 或 者 漏 
洞 ,检查 起 来 相对 困难 。 

(3) 有 些 协议 不 适合 包 过 滤 。 

4.10.4 屏蔽 主机 防火 墙 

实际 使 用 的 防火 墙 系统 一 般 会 采用 多 种 防火 墙 技术 ,如 屏蔽 主机 防火 墙 和 屏蔽 子 网 防 
火 墙 。 
屏蔽 主机 防火 墙 由 包 过 滤 路 由 器 (屏蔽 路 由 器 ) 和 堡 全 主机 (代理 服务 器 ) 组 成 ,保健 主 
机 配置 在 内 部 网 络 上 ,路 由 器 则 放置 在 内 部 网 络 和 Internet 之 间 , 通 过 路 由 器 把 内 部 网 络 和 
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外 部 网 络 隔 开 ,如 图 4-130 所 示 。 


屏蔽 路 由 


图 4-130 屏蔽 主机 防火 墙 


它 所 提供 的 安全 等 级 比 包 过 滤 防 火 墙 系统 高 ,因为 它 实 现 了 网 络 层 安全 ( 包 过 滤 ) 和 应 
用 层 安 全 (代理 服务 ), 和 人 侵 者 在 破坏 内 部 网 络 的 安全 性 之 前 ,必须 首先 渗透 两 种 不 同 的 安全 
系统 。 

1. 堡垒 主机 

堡垒 主机 得 名 于 古代 战争 中 用 于 防守 的 坚固 的 保 垒 , 它 位 于 内 部 网 络 的 最 外 层 , 像 保全 
一 样 对 内 部 网 络 进行 保护 。 堡 垒 主机 可 以 防止 内 部 用 户 直 接 访问 Internet, 其 作用 就 像 一 
个 代理 ,过 滤 掉 未 经 授权 的 要 进入 Internet 的 流量 。 

在 防火 墙 体系 中 ,堡垒 主机 是 Internet 上 的 主机 能 连接 到 的 唯一 的 内 部 网 络 上 的 系统 。 
任何 外 部 的 系统 要 访问 内 部 的 系统 或 服务 都 必须 先 连接 到 这 台 主 机 , 它 是 在 Internet 上 公 
开 的 ,在 网 络 上 最 容易 遭受 非法 入 侵 的 设备 。 所 以 堡垒 主机 要 保持 更 高 等 级 的 主机 安全 , 防 
火 墙 设计 者 和 管理 人 员 需 要 致力 于 堡垒 主机 的 安全 ,而 且 在 运行 期 间 对 堡垒 主机 的 安全 给 
予 特别 的 注意 。 

2. 屏蔽 主机 防火 墙 的 原理 和 实现 过 程 

堡垒 主机 位 于 内 部 网 络 上 , 包 过 滤 路 由 器 放置 在 内 部 网 络 和 外 部 网 络 之 间 。 在 路 由 器 
上 设置 相应 的 规则 ,使 得 外 部 系统 只 能 访问 堡垒 主机 。 由 于 内 部 主机 和 堡垒 主机 处 于 同一 
个 网 络 ,内 部 系统 是 否 允 许 直接 访问 外 部 网 络 ,或 者 是 要 求 使 用 堡垒 主机 上 的 代理 服务 来 访 
问 外 部 网 络 完全 由 企业 的 安全 策略 来 决定 。 对 路 由 器 的 过 滤 规 则 进行 配置 ,使 其 只 接收 来 
自 堡垒 主机 的 内 部 数据 包 ,就 可 以 强制 内 部 用 户 使 用 代理 服务 。 


4.10.5 屏蔽 子 网 防火 墙 


屏蔽 子 网 防火 墙 通过 添加 周边 网 络 更 进一步 把 内 部 网 络 和 Internet 隔 开 。 

周边 网 络 是 一 个 被 隔离 的 独立 子 网 ,充当 了 内 部 网 络 和 外 部 网 络 的 缓冲 区 ,在 内 部 网 络 
与 外 部 网 络 之 间 形 成 了 一 个 “隔离 带 ”, 这 就 构成 一 个 所 谓 的 “ 非 军事 区 ”(DeMilitarized 
Zone.DMZ) 。 
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屏蔽 子 网 防火 墙 的 结构 如 图 4-131 所 示 。 它 由 两 个 屏蔽 路 由 器 和 堡垒 主机 组 成 ,每 一 
个 屏蔽 路 由 器 都 连接 到 周边 网 络 ,一 个 位 于 周边 网 络 与 内 部 网 络 之 间 , 另 一 个 位 于 周边 网 络 
与 Internet 之 间 。 要 入 侵 这 种 体系 结构 的 内 部 网 络 ,非法 入 侵 者 必须 通过 这 两 个 路 由 器 , 即 
使 非法 入 侵 者 侵入 了 堡垒 主机 , 它 仍 将 必须 通过 内 部 路 由 器 ,因此 它 是 最 安全 的 防火 墙 系统 
a 


外 部 路 由 器 


图 4-131 屏蔽 子 网 防火 墙 


屏蔽 子 网 防火 墙 具有 以 下 优点 : 

(1) 入侵 者 必须 突破 三 个 不 同 的 设备 才能 非法 入 侵 由 外 部 路 由 器 、 堡 人 垒 主 机 、 内 部 路 巾 
器 保护 的 内 部 网 络 。 

(2) 由 于 外 部 路 由 器 只 能 向 Internet 通告 DMZ 网 络 的 存在 ,Internet 上 的 系统 没有 与 
内 部 网 络 相通 。 这 样 网 络 管理 员 就 可 以 保证 内 部 网 络 是 “不 可 见 ” 的 ,并 且 只 有 在 DMZ 网 
络 上 选 定 的 服务 才 对 Internet 开放 。 

(3) 由 于 内 部 路 由 器 只 向 内 部 网 络 通告 DMZ 网 络 的 存在 ,内 部 网 络 上 的 系统 不 能 直接 
通 往 Internet, 这 样 就 保证 了 内 部 网 络 上 的 用 户 必 须 通过 驻 留 在 堡垒 主机 上 的 代理 服务 才 
能 访问 Internet。 

(4) 由 于 DMZ 网 络 是 一 个 与 内 部 网 络 不 同 的 网 络 ,NAT( 网 络 地 址 变换 ) 可 以 安装 在 
堡垒 主机 上 ,从 而 避免 在 内 部 网 络 上 重新 编 址 或 重新 划分 子 网 。 


4.10.6 防火 墙 的 发 展 趋势 


防火 墙 是 信息 安全 领域 最 成 熟 的 产品 之 一 ,为 了 满足 日 益 提 高 的 安全 需求 ,防火 墙 也 在 
不 断 发 展 , 其 主要 发 展 趋势 如 下 。 

1. 模式 转变 

传统 的 防火 墙 通常 都 设置 在 网 络 的 边界 位 置 ,不 管 是 内 网 与 外 网 的 边界 ,还 是 内 网 中 不 
同 子 网 的 边界 ,都 以 数据 流 进行 分 隔 , 形 成 安全 管理 区 域 。 但 恶意 攻击 的 发 起 不 仅仅 来 自 于 
外 网 ,内 网 也 同样 存在 着 很 多 安全 隐患 ,对 于 这 种 问题 ,边界 式 防火 墙 处 理 起 来 是 比较 困难 
的 。 所 以 现在 越 来 越 多 的 防火 墙 产品 以 分 布 式 为 体系 进行 设计 ,以 网 络 节点 为 保护 对 象 ,可 
以 最 大 限度 地 覆盖 需要 保护 的 对 象 ,大 大 提升 安全 防护 强度 。 这 不 仅仅 是 单纯 的 产品 形式 
的 变化 ,还 象征 着 防火 墙 产 品 防御 理念 的 升华 。 
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防火 墙 的 几 种 基本 类 型 各 有 优点 ,很 多 厂商 将 这 些 方式 结合 起 来 ,以 弥补 单纯 一 种 方式 
带 来 的 漏洞 和 不 足 。 比 较 简单 的 方式 就 是 既 针 对 传输 层面 的 数据 包 特性 进行 过 滤 ,同时 也 
针对 应 用 层 的 规则 进行 过 滤 ,这 种 综合 性 的 过 滤 设 计 可 以 充分 挖掘 防火 墙 核心 功能 的 能 力 ， 
是 在 自身 基础 之 上 进行 再 发 展 的 最 有 效 途 径 之 一 。 目 前 较为 先进 的 过 滤 方 式 是 带 有 状态 检 
测 功能 的 数据 包 过 滤 ,已 经 成 为 现 有 防火 墙 产 品 的 一 种 主流 检测 模式 。 

目前 ,防火 墙 的 信息 记录 功能 日 益 完善 ,通过 防火 墙 的 日 志 系统 ,可 以 方便 地 追踪 过 去 
网 络 中 发 生 的 事件 ,还 可 以 完成 与 审计 系统 的 联动 ,具备 足够 的 验证 能 力 , 以 保证 在 调查 取 
证 过 程 中 采集 的 证 据 符合 法 律 要 求 。 

2. 功能 扩展 

现在 的 防火 墙 产 品 已 经 呈现 出 集成 多 种 功能 的 设计 趋势 ,包括 VPN、AAA、PKI\IPSec 
等 附加 功能 ,其 至 防 病毒 、 入 侵 检测 这 样 的 主流 功能 ,都 被 集成 到 防火 墙 产品 中 了 。 防 火 墙 
已 经 逐渐 向 IPS( 入 侵 防 御 系统 ) 的 产品 转化 ,很 多 时 候 已 经 无 法 分 辨 这 样 的 产品 到 底 是 以 
防火 墙 为 主 ,还 是 以 其 他 某 个 功能 为 主 。 有 些 防火 墙 集成 了 防 病毒 功能 ,这 样 的 设计 会 给 管 
理性 能 带 来 不 少 提升 ,但 同时 也 对 防火 墙 产 品 的 另外 两 个 重要 因素 ,性 能 和 自身 的 安全 问 
题 ,产生 影响 。 

防火 墙 的 管理 功能 一 直 在 迅猛 发 展 ,并 且 不 断 地 提供 一 些 方便 好 用 的 功能 给 管理 员 ,这 
种 趋势 仍 将 继续 ,更 多 新 颖 实效 的 管理 功能 会 不 断 地 涌现 出 来 。 当 防火 墙 的 规则 被 变更 或 
类 似 的 被 预先 定义 的 管理 事件 发 生 之 后 ,报警 行为 会 以 多 种 途径 发 送 至 管理 员 , 包 括 即 时 的 
短信 或 移动 电话 拨 叫 功能 ,以 确保 安全 响应 行为 在 第 一 时 间 被 启动 。 将 来 ,通过 类 似 手 机 、 
PDA 这 类 移动 处 理 设备 也 可 以 方便 地 对 防火 墙 进行 管理 ,当然 ,这 些 管理 方式 的 扩展 需要 
首先 面 对 的 问题 还 是 如 何 保障 防火 墙 系统 自身 的 安全 性 不 被 破坏 。 

3. 性 能 提高 

由 于 功能 的 扩展 ,应 用 的 日 益 丰 富 、 流 量 的 日 益 复 杂 , 未 来 的 防火 墙 产 品 会 呈现 出 更 强 
的 处 理性 能 要 求 ,所 以 ,诸如 并 行 处 理 技术 等 经 济 实用 的 性 能 提升 手段 将 越 来 越 多 地 应 用 在 
防火 墙 产 品 平台 上 。 相 对 来 说 ,单纯 的 流量 过 滤 性 能 是 比较 容易 处 理 的 问题 ,而 与 应 用 层 涉 
及 越 紧 密 , 性 能 提高 所 需要 面 对 的 情况 就 会 越 复杂 。 在 大 型 应 用 环境 中 ,防火 墙 的 规则 库 至 
少 有 上 万 条 记录 ,而 随 着 过 滤 的 应 用 种 类 的 提高 ,规则 数量 会 以 几何 级 数 的 程度 上 升 , 这 是 
对 防火 墙 负荷 的 考验 。 

除了 硬件 因素 之 外 ,规则 处 理 的 方式 及 算法 也 会 对 防火 墙 性 能 造成 很 明显 的 影响 ,所 以 
在 防火 墙 的 软件 部 分 也 会 融入 更 多 先进 的 设计 技术 ,并 衍生 出 更 多 的 专用 平台 技术 ,以 缓解 
防火 墙 的 性 能 要 求 。 


4.10.7 使 用 天 网 防火 墙 保护 终端 网 络 安全 


天 网 防火 墙 个 人 版 是 由 天 网 安全 实验 室 制作 的 给 个 人 计算 机 使 用 的 网 络 安 全 程序 , 它 
根据 系统 管理 者 设 定 的 安全 规则 把 守 网 络 ,提供 强大 的 访问 控制 ,信息 过 滤 等 功能 ,抵挡 网 
络 人 侵 和 攻击 ,防止 信息 泄露 。 

天 网 防火 墙 把 网 络 分 为 本 地 网 和 互联 网 ,可 以 针对 来 自 不 同 网 络 的 信息 设置 不 同 的 安 
全 方案 ,其 界面 清晰 易 懂 ,适合 个 人 使 用 ,如 图 4-132 所 示 。 
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图 4-132 天 网 防火 墙 界 面 


防火 墙 启动 后 , 单 击 界面 中 间 的 “应 用 程序 网 络 使 用 情况 ?按钮 ,如 果 计 算 机 中 藏 有 木 
马 ,就 可 以 立即 发 现 。 如 图 4-133 所 示 ,在 列表 中 发 现 一 个 陌生 的 程序 r_server. exe 在 监听 
4899 端口 ,很 有 可 能 是 木马 在 等 待 指令 ,可 以 马上 调用 木马 清理 工具 对 其 进行 检查 。 


eneric Host Process for Win32 Services 


TCP 

虹 在 4899 端口 监听 
Task Scheduler Engine 
Microsoft Telnet Client 


再 verere 版 本 : 
路 径 : C:\WINNT\systen32\r_server. exe 


图 4-133 ”检查 应 用 程序 网 络 使 用 情况 


在 默认 的 规则 中 ,天 网 防火 墙 能 实现 以 下 功能 : 

(1) 防止 外 部 计算 机 探测 到 本 机 的 IP 地 址 并 进一步 窃取 账号 和 密码 。 

(2) 防止 外 来 的 蓝屏 攻击 造成 Windows 系统 崩溃 以 至 死机 。 

(3) 防止 用 户 的 个 人 隐秘 信息 泄露 。 

(4) 防止 黑客 利用 冰河 等 木马 软件 进行 攻击 。 

(5) 形成 一 堵 坚 固 的 保护 层 , 把 所 有 来 历 不 明 的 访问 挡 在 层 外 ,以 保护 用 户 的 系统 
安全 。 

根据 需要 ,用 户 还 可 以 自行 定义 应 用 程序 规则 和 IP 规则 。 

1. 应 用 程序 规则 设置 

可 以 根据 需要 对 应 用 程序 访问 Internet 进行 限制 ,方法 如 下 , 

(1) 单 击 左 侧 的 “应 用 程序 规则 ”按钮 , 列 出 能 够 访问 Internet 的 应 用 程序 ,如 图 4-134 


所 示 。 
(2) 单 击 程序 名 称 后 面 的 “选项 ”按钮 .在 “应 用 程序 规则 高 级 设置 "界面 中 可 以 控制 某 
些 程序 对 TCP 或 UDP 的 访问 权限 以 及 可 访问 的 端口 等 ,如 图 4-135 所 示 。 
当 一 个 没有 被 列 在 “应 用 程序 规则 ”界面 中 的 程序 试图 访问 网 络 时 ,天 网 会 发 出 如 图 4-136 
所 示 的 “警告 信息 ”。 
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应 用 程序 访问 网 络 权 限 设置 


Microsoft Telnet Client 版 本 : 5.00.99203 
路 径 :C: \WINNT\system32\telnet. exe 


QQ 中 文 网 络 寻呼机 版 本 :1.0.0.6 % 
路 径 :D: \Progran Files\Tencent\QQ2000b.exe 了 


ntermet Explorer 版 本 : 6.00.2600。 六 
路 径 :C:\Programn Files\Internet 
Explorer\IEXPLORE. EXE * 


4-134 ”应 用 程序 规则 设置 


他 ”天 网 防火 墙 和 警告 信息 


~ SEC 有 Microsoft Telnet Client 
祖 应 用 程序 规则 高 级 设置 问 网 络 ? 
Fa Explorer 对 网 络 进行 操作 时 ， 要 符合 下 面 规 gg 改天 本 
该 应 用 程序 可 以 可 访问 端口 人 
1 信息] 他 任何 端口 口 : 899 
太 提供 TCP 协议 服务 站 文件 信息 
你 通过 UDP 协议 发 送信 息 航 : Microsoft Telnet Client 
太 提供 UDP 协议 服务 个 端口 列表 各 加 5. oo 区 站 
不 符合 上 面条 件 时 ET \ systend2\telnet. Exe 
人 询问 
sl J 
| 名 
4-135 ”应 用 程序 规则 高 级 设置 图 4-136 警告 信息 


应 当 特别 注意 "地址 ”和 “路 径 ” 两 个 条 目 ,如 果 感 到 很 陌生 一 定 要 提高 警惕 。 特 别 是 启 
动 了 一 个 不 需要 上 网 的 程序 也 弹出 这 样 的 警告 时 要 特别 小 心 , 因 为 有 可 能 它 正在 偷偷 地 收 
集 信息 。 

2. IP 规则 设置 

天 网 防火 墙 默认 的 安全 规则 是 一 套 适 合 在 普通 情况 下 保护 个 人 用 户 网 络 安 全 的 规则 
集合 ,如 果 需 要 ,可 以 单 击 左 侧 中 间 的 “ 自 定义 全 规则 ”按钮 进行 一 些 比较 复杂 的 设置 ,如 
图 4-137 所 示 。 

通过 IP 规则 来 设 定 防火 墙 对 IP 人 IP 包 过 滤 规 则 的 目 
的 。 其 中 比较 重要 的 是 要 选择 “防御 ICMP 攻击 “防御 IGMP 攻击 ”。 如 果 要 防止 共享 攻 
击 , 不 要 选中 “允许 局 域 网 中 的 机 器 使 用 我 的 共享 资源 ”, 要 选中 “ 禁止 互联 网 上 的 机 器 使 用 
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IP 规 则 了 南 
区 许 自己 用 ping 命 令 探测 其 他 机 器 ICIP 国 


时 "的 ICIF 回 应 tICIP 团 

法 和 到达" 的 ICIEPEICP 团 

机 器 用 pine 命 令 探 测 ICIP 因 

防止 别人 用 ping 命 令 探 测 IC 咽 
防御 ICIEP 攻 击 IcIP 辐 
防御 ICJP 攻击 IcP 团 
TCP ”数据 包 监视 TCE 西 
区 许 局 域 网 内 的 机 器 进行 连 拒 和 传 针 TCP。” 回 
允许 局 域 网 的 机 器 使 用 我 的 共享 资源 TCP ” 因 


入 时 O00 和 80D 


图 4-137 自 定义 IP 规则 
我 的 共享 资源 ”。 
3. 系统 设置 
单 击 左 侧 下 方 的 “系统 设置 ?按钮 ,出现 如 图 4-138 所 示 的 界面 。 


系统 设置 


启动 防火 墙 自 定义 规则 
f 开机 后 自动 启动 防火 墙 


应 用 程序 权限 


厂 允许 所 有 的 应 用 程序 访问 网 络 , 并 在 规则 记录 这 些 程序 


局 域 网 地 址 设 定 
局 域 网 地 址 [ws 【清空 ] 


报警 声音 


文件 VerEpiremiitesst ED ED 


图 4-138 系统 设置 


在 “启动 ”项 选中 “开机 后 自动 启动 防火 墙 ", 天 网 防火 墙 将 随 着 操作 系统 的 启动 自动 启 
动 。 若 选中 “应 用 程序 权限 ”项 中 的 “允许 所 用 的 应 用 程序 访问 网 络 , 并 在 规则 记录 这 些 程 
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序 ”, 则 所 有 的 应 用 程序 对 网 络 的 访问 都 默认 为 允许 。 单 击 “ 防 火 墙 自 定义 规则 ”项 中 的 “ 重 
置 ?按钮 ,所 有 个 人 设置 的 规则 都 将 被 删除 。 如 果 计 算 机 在 局 域 网 内 , 则 一 定 要 设置 好 "局 域 
网 地 址 ?项 ,这 样 防火 墙 就 可 以 以 这 个 地 址 来 区 分 局 域 网 或 者 Internet 的 IP 来 源 。 


4.11 人 侵 检测 技术 


入 侵 检测 技术 是 近年 来 迅速 发 展 起 来 的 .主动 保护 自己 免 受 攻击 的 一 种 网 络 安全 技术 。 
作为 防火 墙 的 合理 补充 ,入 侵 检测 技术 能 够 帮助 系统 对 付 网 络 攻击 ,扩展 了 系统 管理 员 的 安 
全 管理 能 力 , 提 高 了 信息 安全 基础 结构 的 完整 性 。 

人 侵 检 测 系 统 (Intrusion Detection System,IDS) 提 供 主 动 的 网 络 保护 , 它 从 计算 机 网 
络 系统 中 的 若干 关键 点 收集 信息 ,并 对 其 进行 分 析 , 自 动 检测 网 络 流量 中 违反 安全 策略 的 行 
为 或 遭受 潜在 攻击 的 模式 。 传 统 操 作 系统 加 固 技术 和 防火 墙 隔离 技术 等 静态 安全 防御 技 
术 , 对 网 络 攻 击 手段 缺乏 主动 反应 ,入 侵 检测 作为 动态 安全 的 核心 技术 ,很 好 地 解决 了 这 个 问 
题 。 它 通过 研究 人 侵 行 为 的 过 程 与 特征 ,使 系统 能 够 对 入 侵 事件 和 入 侵 过 程 做 出 实时 响应 。 

假如 防火 墙 是 一 幢 大 楼 的 门卫 ,那么 IDS 就 是 这 幢 大 楼 里 的 监视 系统 。 一 旦 小 偷 疏 窗 
进入 大 楼 ,或 内 部 人 员 有 越界 行为 ,只 有 实时 监视 系统 才能 发 现 情况 并 发 出 警告 。 不 同 于 防 
火 墙 ,IDS 入 侵 检 测 系 统 是 一 个 监听 设备 ,没有 跨 接 在 任何 链 路 上 ,无 须 网 络 流量 流 经 它 便 
可 以 工作 。 

入 侵 检测 技术 自 20 世纪 80 年 代 初 提出 以 来 ,经 过 三 十 多 年 的 不 断 发 展 ,从 最 初 的 一 种 
有 价值 的 研究 想法 和 单纯 的 理论 模型 ,迅速 发 展 出 种 类 繁多 的 各 种 实际 原型 系统 ,并 且 在 近 
十 年 内 涌现 出 许多 商用 入 侵 检测 系统 产品 ,已 经 成 为 计算 机 安全 防护 领域 内 不 可 缺少 的 一 
种 重要 的 安全 防护 技术 。 


4.11.1 基本 概念 


入 侵 是 对 信息 系统 的 非 授 权 访 问 以 及 (或 者 ) 未 经 许可 在 信息 系统 中 进行 的 操作 ,包括 

(1) 外 部 入 侵 者 : 系统 的 非 授 权 用 户 。 

(2) 内 部 入 侵 者 : 超越 合法 权限 的 系统 授权 用 户 。 

(3) 违法 者 : 在 计算 机 系统 上 执行 非法 活动 的 合法 用 户 。 

(4) 恶意 程序 的 威胁 : 病毒 .特洛伊 木马 程序 .恶意 Java 或 ActiveX 程序 等 。 

(5) 为 未 来 攻击 进行 准备 工作 的 活动 : 探测 和 扫描 系统 配置 信息 和 安全 漏洞 。 

入 侵 检测 是 对 企图 入 侵 、 正 在 进行 的 入 侵 或 者 已 经 发 生 的 入 侵 进 行 识别 的 过 程 。 是 从 
计算 机 网 络 或 计算 机 系统 中 的 若干 关键 点 搜集 信息 并 对 其 进行 分 析 , 从 中 发 现 网 络 或 系统 
中 是 否 有 违反 安全 策略 的 行为 和 遭 到 袭击 的 迹象 的 一 种 机 制 。 

入 侵 检 测 系统 使 用 入 侵 检 测 技术 对 网 络 系统 进行 监视 ,并 根据 监视 结果 进行 不 同 的 安 
全 动作 ,最 大 限度 地 降低 可 能 的 入 侵 危 害 。 

例如 ,有 一 个 连接 着 Internet 的 Web 服务 器 ,允许 一 定 的 客户 、 员 工 和 一 些 潜在 的 客户 
访问 存放 在 该 Web 服务 器 上 的 Web 页 面 。 然 而 不 希望 其 他 员工 、 顾 客 或 未 知 的 第 三 方 的 
未 授权 访问 。 一 般 情况 下 ,可 以 采用 一 个 防火 墙 或 者 认证 系统 阻止 未 授权 访问 。 然 而 ,有 时 
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简单 的 防火 墙 措 施 或 者 认证 系统 可 能 被 攻破 。 入 侵 检 测 是 一 系列 在 适当 的 位 置 上 对 计算 机 
未 授权 访问 进行 警告 的 机 制 。 对 于 假冒 身份 的 入 侵 者 ,入 侵 检 测 系 统 也 能 采取 一 些 措 施 来 
拒绝 其 访问 。 

1. 入 侵 检 测 系统 的 基本 任务 

和 人 侵 检测 系统 的 基本 任务 包括 : 

(1) 监视 并 分 析 用 户 和 系统 的 活动 ; 

(2) 核查 系统 配置 和 漏洞 ; 

(3) 评估 系统 关键 资源 和 数据 文件 的 完整 性 ; 

(4) 识别 已 知 的 攻击 行为 ; 

(5) 统计 分 析 异 常 行为 ; 

(6) 操作 系统 日 志 管理 并 识别 违反 安全 策略 的 用 户 活动 。 

对 一 个 成 功 的 入 侵 检测 系统 来 讲 , 它 不 但 可 使 系统 管理 员 时 刻 了 解 网 络 系统 的 任何 变 
更 ,还 能 为 网 络 安全 策略 的 制定 提供 指南 。 更 为 重要 的 是 它 管理 .配置 简单 ,从 而 使 非 专业 
人 员 可 以 通过 IDS 系统 非常 容易 地 获得 网 络 安 全 。 而 且 入 侵 检测 系统 还 会 根据 网 络 威胁 、 
系统 构造 和 安全 需求 的 改变 而 改变 。 和 人 侵 检测 系统 在 发 现 人 侵 后 ,会 及 时 做 出 响应 ,包括 切 
断 网 络 连 接 . 记 录 事 件 和 报警 等 。 

2. 入 侵 检 测 系统 的 工作 方式 


入 侵 检测 系统 就 像 是 一 个 有 着 多 年 经 验 ` 熟 悉 各 种 人 侵 方式 的 网 络 侦察 员 ,通过 对 数据 
流 的 分 析 , 从 数据 流 中 过 滤 出 可 疑 数据 包 ,通过 与 已 知 的 人 侵 方式 进行 比较 ,确定 入 侵 是 否 
发 生 以 及 人 侵 的 类 型 并 进行 报警 。 

网 络 管理 员 可 以 根据 这 些 报警 确切 地 知道 所 受到 的 攻击 并 采取 相应 的 措施 。 可 以 说 ， 
入 侵 检 测 系统 是 网 络 管 理 员 经 验 积 累 的 一 种 体现 , 它 极 大 地 减轻 了 网 络 管理 员 的 负担 ,降低 
了 对 网 络 管理 员 的 技术 要 求 ,提高 了 网 络 安全 管理 的 效率 和 准确 性 。 

目前 大 部 分 网 络 攻 击 在 攻击 前 都 有 一 个 搜集 资料 的 过 程 ,如 基于 特定 系统 的 漏洞 攻击 ， 
在 攻击 之 前 需要 进行 端口 扫描 ,以 确认 系统 的 类 型 以 及 漏洞 相关 的 端口 是 否 开启 。 某 些 攻 
击 在 初期 就 表现 出 较为 明显 的 特征 ,如 假冒 有 效用 户 登录 ,攻击 初期 的 登录 尝试 具有 明显 的 
特征 。 对 于 这 两 类 攻击 ,入 侵 检 测 系 统 可 以 在 攻击 的 前 期 准备 时 期 或 是 在 攻击 刚刚 开始 的 
时 候 进行 确认 并 发 出 警报 。 同 时 入 侵 检 测 系统 可 以 对 报警 的 信息 进行 记录 ,为 以 后 的 一 系 
列 实际 行动 提供 证 据 支 持 。 这 就 是 入 侵 检 测 系统 的 预警 功能 。 

入 侵 检 测 一 般 采 用 旁 路 侦 听 机 制 , 因 此 不 会 产生 对 网 络 带 宽 的 大 量 占 用 ,系统 的 使 用 对 
网 内 外 的 用 户 来 说 是 透明 的 ,不 会 有 任何 的 影响 。 入 侵 检 测 系 统 的 单独 使 用 不 能 起 到 保护 
网 络 的 作用 ,也 不 能 独立 地 防止 任何 一 种 攻击 。 但 它 是 整个 网 络 安全 系统 的 一 个 重要 组 成 
部 分 , 它 扮演 着 网 络 安全 系统 中 侦察 与 预警 的 角色 ,协助 网 络 管理 员 发 现 并 处 理 任何 已 知 的 
入 侵 。 可 以 说 , 它 是 对 其 他 安全 系统 的 有 力 补充 ,弥补 了 防火 墙 在 高 层 上 的 不 足 。 通 过 对 入 
侵 检 测 系统 所 发 出 警报 的 处 理 ,网 络 管理 员 可 以 有 效 地 配置 其 他 安全 产品 ,使 整个 网 络 安全 
系统 达到 最 佳 工 作 状 态 , 尽 可 能 降低 因 攻 击 带 来 的 损失 。 

3. 入 食 检 测 系统 的 基本 结构 

入 侵 检测 系统 的 基本 结构 包括 信息 收集 .信息 分 析 和 结果 处 理 三 部 分 ,如 图 4-139 
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所 示 


1) 信息 收集 l 络 
信息 收集 是 入 侵 检测 的 第 一 步 ,IDS 收集 到 到 到 E> E> 
的 数据 是 它 进行 检测 和 决策 的 基础 。 理 
信息 收集 的 内 容 包括 系统 、 网 络 .数据 及 用 户 图 4.139 入 保 检测 系统 的 基本 结构 
活动 的 状态 和 行为 。 

信息 收集 的 方法 包括 直接 监控 法 和 间接 监控 法 。 直 接 监控 是 指 从 数据 生成 地 或 属地 直 
接 获取 数据 ; 间接 监控 是 指 从 能 反映 监控 目标 行为 的 数据 源 处 获取 数据 。 直 接 监控 要 优 于 
间接 监控 ,这 是 因为 : 

(1) 从 非 直接 数据 源 获 取 的 数据 在 被 IDS 使 用 之 前 ,有 被 入 侵 者 修改 的 潜在 可 能 。 

(2) 非 直接 数据 源 可 能 无 法 记录 某 些 事件 。 

(3) 从 间接 数据 源 获 取 的 数据 量 一 般 都 非常 大 ,直接 监控 方法 生成 的 数据 量 相对 较 小 。 

(4) 间接 监控 机 制 的 伸缩 性 差 。 

(5) 直接 监控 的 时 延 小 得 多 ,这 样 IDS 才能 据 此 做 出 更 及 时 的 响应 。 

入侵 检测 的 信息 收集 工具 包括 外 部 探测 器 和 内 部 探测 器 。 外 部 探测 器 的 形式 是 监控 组 
件 与 被 监控 程序 分 离 ,而 内 部 探测 器 则 在 所 监控 的 程序 代码 内 实现 。 由 于 内 部 探测 器 实现 
起 来 难度 较 大 ,所 以 在 现 有 的 IDS 产品 中 ,只 有 很 少 一 部 分 采用 。 

2) 信息 分 析 

对 于 采用 上 述 方法 收集 到 的 有 关系 统 、 网 络 、 数 据 及 用 户 活动 的 状态 和 行为 等 信息 ,一 
般 通过 三 种 技术 手段 进行 分 析 : 模式 匹配 ,统计 分 析 和 完整 性 分 析 。 其 中 模式 匹配 和 统计 
分 析 方 法 用 于 实时 的 入 侵 检测 ,完整 性 分 析 则 用 于 事后 分 析 。 

模式 匹配 就 是 将 收集 到 的 信息 与 已 知 的 网 络 人 侵 和 系统 误 用 模式 数据 库 进行 比较 ,从 
而 发 现 违背 安全 策略 的 行为 。 该 方法 的 一 大 优点 是 只 需 收 集 相关 的 数据 集合 ,显著 减 小 了 
系统 负担 , 且 技 术 已 相当 成 熟 。 它 与 病毒 防火 墙 采用 的 方法 一 样 , 检 测 准确 率 和 效率 都 相当 
高 。 但 是 ,该 方法 存在 的 弱点 是 需要 不 断 升级 以 对 付 不 断 出 现 的 黑客 攻击 手法 ,不 能 检测 到 
从 未 出 现 过 的 黑客 攻击 手段 。 

统计 分 析 方 法 首先 给 系统 对 象 创建 一 个 统计 描述 ,统计 正常 使 用 时 的 一 些 测量 属性 。 
测量 属性 的 平均 值 将 被 用 来 与 网 络 、 系 统 的 行为 进行 比较 ,任何 观察 值 在 正常 值 范围 之 外 
时 ,就 认为 有 入 侵 发 生 。 其 优点 是 可 以 检测 到 未 知 的 入 侵 和 更 为 复杂 的 和 人 侵 ,缺点 是 误 报 、 
漏 报 率 高 ,上 且 不 适应 用 户 正 常 行为 的 突然 改变 。 具 体 的 统计 分 析 方 法 如 基于 专家 系统 的 、 基 
于 模型 推理 的 和 基于 神经 网 络 的 分 析 方 法 ,目前 是 研究 的 热点 ,并 正 处 于 迅速 发 展 之 中 。 

完整 性 分 析 主 要 关注 某 个 文件 或 对 象 是 否 被 更 改 , 包 括 文件 和 目录 的 内 容 及 属性 , 它 在 
发 现 被 更 改 的 应 用 程序 方面 特别 有 效 。 其 优点 是 不 管 模式 匹配 方法 和 统计 分 析 方 法 能 否 发 
现 人 侵 ,只 要 攻击 导致 了 文件 或 其 他 对 象 的 任何 改变 , 它 都 能 够 发 现 。 缺 点 是 一 般 以 批 处 理 
方式 实现 ,不 能 用 于 实时 响应 。 

3) 结果 处 理 

结果 处 理 包括 主动 响应 被动 响应 或 者 两 者 的 混合 。 

主动 响应 就 是 当 攻 击 或 人 侵 被 检测 到 时 ,自动 做 出 一 些 动 作 。 包 括 收集 相关 信息 、 中 断 
攻击 过 程 .阻止 攻击 者 的 其 他 行动 ` 反 击 攻 击 者 。 


粮 球 闸 址 
薪 阅 库 杰 
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被 动 响应 提供 攻击 和 入 侵 的 相关 信息 ,包括 报警 和 告示 、SNMP 协议 通知 .定期 事件 报 
告 文档 ,然后 由 管理 员 根 据 所 提供 的 信息 采取 相应 的 行动 。 

4. 入 侵 检 测 系 统 的 分 类 

根据 入 侵 检测 系统 的 检测 对 象 和 工作 方式 的 不 同 ,入 侵 检测 系统 主要 分 为 两 大 类 : 基 
于 主机 的 入 侵 检测 系统 和 基于 网 络 的 入 侵 检测 系统 。 

从 数据 分 析 手 段 看 ,入 侵 检 测 通常 可 以 分 为 滥用 入 侵 检测 和 异常 人 侵 检测 。 

滥用 入 侵 检 测 的 技术 基础 是 分 析 各 种 类 型 的 攻击 手段 ,并 找 出 可 能 的 “攻击 特征 ”集合 。 
滥用 入 侵 检 测 利用 这 些 特 征集 合 或 者 对 应 的 规则 集合 ,对 当前 的 数据 来 源 进行 各 种 处 理 后 ， 
再 进行 特征 匹配 或 者 规则 匹配 工作 ,如 果 发 现 满 足 条 件 的 匹配 , 则 指示 发 生 了 一 次 攻击 
行为 。 

异常 入 侵 检测 的 假设 条 件 是 对 攻击 行为 的 检测 可 以 通过 观察 当前 活动 与 历史 正常 活动 
情况 之 间 的 差异 来 实现 。 

比较 而 言 ,滥用 入 侵 检 测 比 异常 人 侵 检测 具备 更 好 地 确定 解释 能 力 , 即 明确 指示 当前 发 
生 的 攻击 手段 类 型 ,因而 在 诸多 商用 系统 中 得 到 广泛 应 用 。 另 一 方面 ,滥用 入 侵 检测 具备 较 
高 的 检测 率 和 较 低 的 虚 警 率 , 开 发 规则 库 和 特征 集合 相对 于 建立 系统 正常 模型 而 言 , 也 要 更 
方便 ,更 容易 。 滥 用 检测 的 主要 缺点 在 于 一 般 只 能 检测 到 已 知 的 攻击 模式 。 而 异常 检测 的 
优点 是 可 以 检测 到 未 知 的 和 人 侵 行为 。 

从 现 有 的 实际 商用 系统 来 看 ,大 多 数 都 是 基于 滥用 入 侵 检 测 技术 的 。 不 过 ,在 若干 种 优 
秀 的 人 侵 检 测 系 统 中 ,也 采用 了 不 同形 式 的 异常 人 侵 检测 技术 和 对 应 的 检测 模块 。 


4.11.2 基于 主机 的 入 侵 检测 系统 


基于 主机 的 入 侵 检测 系统 通常 从 主机 的 审计 记录 和 日 志文 件 中 获得 所 需要 的 主要 数据 
源 , 并 辅 之 以 主机 上 的 其 他 信息 ,在 此 基础 上 完成 检测 攻击 行为 的 任务 。 

基于 主机 的 入 侵 检测 系统 用 于 保护 单 台 主机 不 受 网 络 攻 击 行为 的 侵害 ,需要 安装 在 被 
保护 的 主机 上 。 它 直接 与 操作 系统 相关 ,控制 文件 系统 以 及 重要 的 系统 文件 ,确保 操作 系统 
不 会 被 随意 地 删改 ,能 够 及 时 发 现 操作 系统 所 受到 的 侵害 .并 且 由 于 它 保存 一 定 的 校 验 信息 
和 所 有 系统 文件 的 变更 记录 ,所 以 在 一 定 程度 上 还 可 以 实现 安全 恢复 。 

1. 基于 主机 的 入 侵 检测 系统 的 优 缺 点 

基于 主机 的 入 侵 检测 系统 的 优点 是 : 能 够 较为 准确 地 监测 到 发 生 在 主机 系统 高 层 的 复 
杂 攻 击 行 为 ,其 中 许多 发 生 在 应 用 进程 级 别 的 攻击 行为 是 无 法 依靠 基于 网 络 的 人 侵 检 测 来 
完成 的 。 

基于 主机 的 人 侵 检测 系统 的 缺点 是 : 严重 依赖 于 特定 的 操作 系统 平台 ; 由 于 运行 在 保 
护 主 机 上 ,会 影响 宿主 机 的 运行 性 能 ; 通常 无 法 对 网 络 环境 下 发 生 的 大 量 攻 击 行为 做 出 及 
时 的 反应 。 

2. 基于 主机 的 入 侵 检测 系统 的 部 署 

基于 主机 的 入 侵 检测 系统 主要 安装 在 关键 主机 上 ,这 样 可 以 减少 规划 部 署 的 花费 ,使 管 
理 的 精力 集中 在 最 重要 最 需要 保护 的 主机 上 。 同 时 ,为 了 便于 对 基于 主机 的 入 侵 检测 系统 
的 检测 结果 进行 及 时 检查 ,需要 对 系统 产生 的 日 志 进 行 集中 。 通 过 进行 集中 的 分 析 、 整 理 和 
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显示 ,可 以 大 大 减少 对 网 络 安 全 系统 日 常 维护 的 复杂 性 和 难度 。 由 于 基于 主机 的 入 侵 检测 
系统 本 身 需要 占用 服务 器 的 计算 和 存储 资源 ,因此 ,要 根据 服务 器 本 身 的 空闲 负载 能 力 选取 
不 同类 型 的 入 侵 检测 系统 并 进行 专门 的 配置 。 


4.11.3 ”基于 网 络 的 入 侵 检 测 系 统 


基于 网 络 的 入 侵 检 测 系 统 通 过 监听 网 络 中 的 数据 包 来 获得 必要 的 数据 来 源 ,并 通过 协 
议 分 析 、 特 征 匹 配 、 统 计 分 析 等 手段 发 现 当前 发 生 的 攻击 行为 。 

基于 网 络 的 和 人 侵 检测 系统 通常 作为 一 个 独立 的 个 体 放置 在 被 保护 的 网 络 上 , 它 使 用 原 
始 的 网 络 分 组 数据 包 作为 进行 攻击 分 析 的 数据 源 , 通 过 将 实际 的 数据 流量 记录 与 人 侵 模式 
库 中 的 入 侵 模式 进行 匹配 ,寻找 可 能 的 攻击 特征 。 如 果 是 正常 数据 包 , 则 允许 通过 或 留待 进 
一 步 分 析 ; 如 果 是 不 安全 的 数据 包 , 则 可 以 进行 阻 断 网 络 连接 等 操作 ,在 这 种 情况 下 ,还 可 
以 重新 配置 防火 墙 以 阻 断 相应 的 网 络 连 接 ,共同 保护 主机 的 安全 。 一 旦 检测 到 攻击 ,入 侵 检 
测 系统 应 答 模块 通过 通知 .报警 以 及 中 断 连 接 等 方式 来 对 攻击 做 出 反应 。 

1. 基于 网 络 的 入 侵 检 测 系统 的 优 缺 点 

基于 网 络 的 人 侵 检测 系统 的 优点 是 : 提供 实时 的 网 络 行为 检测 、 同 时 保护 多 台 网 络 主 
机 、 具 有 良好 的 隐蔽 性 有效 保 护 入 侵 证 据 、 不 影响 被 保护 主机 的 性 能 。 

基于 网 络 的 入 侵 检 测 系统 的 缺点 是 : 防 人 侵 欺 骗 的 能 力 较 差 ,在 交换 式 网 络 环境 中 难 
以 配置 ,检测 性 能 受 硬件 条 件 限制 .不 能 处 理 加 密 后 的 数据 。 

基于 网 络 的 人 侵 检测 系统 和 基于 主机 的 人 侵 检测 系统 都 有 各 自 的 优势 和 不 足 , 这 两 种 
方式 各 自 都 能 发 现 对 方 无 法 检测 到 的 一 些 网 络 入 侵 行为 ,如 果 同 时 使 用 互相 弥补 不 足 ,会 起 
到 良好 的 检测 效果 。 

2. 基于 网 络 的 入 侵 检 测 系 统 的 部 署 


基于 网 络 的 人 侵 检测 系统 可 以 在 网 络 的 多 个 位 置 对 网 络 入 侵 检 测 器 进行 部 署 。 入 侵 检 
测 的 部 署 点 可 以 划分 为 4 个 位 置 DMZ 区 、 外 网 入 口 、 内 网 主干 ,关键 子 网 ,如 图 4-140 


所 示 。 
@ 内 网 主干 CODMZ 区 
Pa 
3 入 侵 答 测 器 
外 部 网 络 - 
防火 墙 ”防火墙 


入 侵 检 测 器 
回 外 网 入 口 


图 4-140 系统 设置 
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根据 检测 器 部 署 位 置 的 不 同 , 入 侵 检测 系统 具有 不 同 的 工作 特点 。 用 户 需要 根据 自己 
的 网 络 环境 以 及 安全 需求 进行 网 络 部 署 ,以 达到 预定 的 网 络 安全 需求 。 


4.11.4 现 有 入 侵 检 测 技术 的 局 限 性 


入 侵 检测 系统 是 企业 安全 防御 系统 中 的 重要 部 件 ,但 入 侵 检测 系统 并 不 是 万 能 的 , 现 有 
的 入 侵 检测 技术 还 存在 许多 不 足 。 

1. 主机 入 侵 检 测 技术 存在 的 问题 

1) 对 系统 性 能 的 影响 

主机 入 侵 检 测 依 赖 部 署 在 目标 主机 上 的 代理 进行 工作 ,并 且 通 常 是 在 分 布 式 的 网 络 系 
统 内 部 署 多 个 检测 代理 组 件 来 完成 对 目标 系统 的 安全 监控 。 主 机 入 侵 检测 对 系统 性 能 的 影 
响 体 现在 两 个 方面 : 

(1) 目标 主机 上 生成 的 审计 数据 量 通常 是 很 大 的 ,而 负责 处 理 这 些 审计 数据 的 代理 势 
必要 占据 主机 的 处 理 能 力 , 从 而 影响 主机 的 运行 性 能 ; 

(2) 如 果 主 机 代理 需要 通过 网 络 将 数据 和 报警 信号 传送 到 控制 台 进行 统一 处 理 , 则 大 
量 代理 所 发 送 的 网 络 数据 包 会 占用 可 观 的 带宽 资源 ,从 而 影响 网 络 的 运行 性 能 。 

通常 需要 根据 具体 情况 ,在 两 种 不 同性 能 影响 情况 中 进行 折 中 处 理 。 

2) 部 署 和 维护 的 问题 

由 于 主机 入 侵 检测 需要 在 每 个 目标 机 上 都 至 少 部 署 一 个 代理 ,所 以 如 何 实现 方便 的 统 
一 部 署 ,管理 和 维护 工作 是 一 项 困难 的 工作 ,特别 是 在 分 布 式 的 网 络 环境 下 尤其 如 此 。 

3) 安全 问题 

代理 直接 部 署 在 目标 系统 上 ,因此 获得 非法 权限 的 用 户 可 以 直接 关闭 该 代理 的 运行 并 
删除 该 代理 。 主 机 上 的 审计 记录 来 源 同 样 较 容易 被 恶意 地 删改 ,从 而 躲避 过 主机 入 侵 检 测 。 

2. 网 络 入 侵 检 测 技术 面临 的 主要 问题 

1) 高 速 网 络 环境 下 的 检测 问题 

网 络 带宽 的 增长 速度 已 经 超过 了 计算 能 力 的 提高 速度 ,尤其 对 于 入 侵 检测 而 言 , 为 了 保 
证 必需 的 检测 能 力 ,通常 需要 进行 网 络 数据 包 的 重组 操作 ,这 就 需要 耗费 更 多 的 计算 能 力 。 

2) 交换 式 网 络 环境 下 的 检测 问题 

传统 的 网 络 人 侵 检 测 技术 无 法 监控 交换 式 网 络 ,通常 需要 添加 一 些 额 外 的 硬件 措施 , 才 
能 够 完成 检测 任务 ,这 将 带 来 性 能 和 通用 性 等 方面 的 问题 。 

3) 加 密 的 问题 

大 多 数 网 络 入 侵 检测 技术 都 需要 通过 对 数据 包 中 的 特定 特征 字符 串 进行 分 析 匹 配 , 才 
能 够 发 现 人 侵 活动 。 如 果 对 网 络 上 传输 的 数据 进行 了 加 密 操作 ,无 论 是 在 IP 层 (IPSec) ,还 
是 在 会 话 层 和 应 用 层 (SSL) ,都 会 极 大 地 影响 网 络 人 侵 检 测 系统 的 正常 工作 。 

3. 入 侵 检测 的 通用 性 问题 

1) 虚假 警报 问题 

实际 操作 中 存在 的 主要 问题 是 虚假 警报 的 泛滥 。 

2) 可 扩展 性 问题 

可 扩展 性 问题 可 以 分 为 时 间 上 的 扩展 性 和 空间 上 的 扩展 性 。 
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3) 管理 问题 

首先 考虑 与 网 络 管理 系统 的 集成 问题 ; 其 次 是 如 何 来 管理 入侵 检测 系统 内 部 可 能 存在 
的 大 量 部 件 。 

4) 支持 法 律 诉讼 

现 有 的 入 侵 检测 系统 对 于 法 律 诉讼 的 支持 问题 ,设计 考虑 还 不 太 完善 

5) 互 操作 性 问题 

未 来 的 各 种 人 侵 检测 系统 必须 能 够 遵循 统一 的 数据 交换 格式 和 传输 协议 ,从 而 能 够 方 
便 地 共享 信息 ,更 好 地 进行 协同 工作 。 


4.11.5 Windows 简单 安全 入 侵 检测 

Windows 自 带 了 强大 的 安全 日 志 系 统 ,从 用 户 登录 到 特权 的 使 用 都 有 很 详细 的 记录 ， 
但 是 在 默认 安装 下 安全 审核 是 关闭 的 。 

1. 打开 安全 审核 

执行 “控制 面板 ”| 管理 工具 ”| * 本 地 安全 策略 "| * 本 地 策略 "| * 审 核 策略 ?命令 ,在 如 
图 4-141 所 示 的 窗口 中 打开 需要 的 审核 。 


至 本 地 安全 设置 
文件 FE) 操作 个 查看 外 


由 用户 权 和 指派 


由 安全 选项 
由 和 公 钥 第 略 
由 园 软件 限制 策略 加 
加 和 镜 IT 安全 策略， 在 本 地 计 


图 4-141 本 地 安全 设置 


审核 策略 确定 是 否 将 安全 事件 记录 到 计算 机 上 的 安全 日 志 中 ,同时 也 确定 是 否 记 录 登 
录 成 功 或 登录 失败 ,或 两 者 都 记录 。 一 般 来 说 ,“ 审 核 登录 事件 ”和 “审核 账户 管理 "是 人 们 最 
关心 的 事件 ,要 同时 打开 其 成 功 和 失败 审核 ,对 于 其 他 的 审核 也 要 打开 失败 审核 。 打 开 的 方 
法 是 双击 对 应 的 策略 ,如 双击 “审核 登录 事件 ”, 出 现 如 图 4-142 所 示 的 对 话 框 ,然后 选择 成 
功 审核 和 失败 审核 。 

2. 查看 安全 日 志 

设置 安全 日 志 后 应 该 制定 一 个 安全 日 志 的 检查 机 制 , 因 为 入 侵 者 一 般 都 是 晚上 行动 的 ， 
所 以 上 午 的 第 一 aioe 是否 有 异常 。 执 行 “ 控 制 面板 ”1 “管理 工具 ”|“ 事 件 查 看 
器 ”命令 ,在 如 图 4-143 所 示 的 “事件 查看 器 ”窗口 中 可 以 进行 安全 日 志 的 查看 。 

除了 安全 日 志 , 应 用 程序 日 志和 系统 日 志 也 是 非常 好 的 辅助 检测 工具 。 一 般 来 说 ,入 侵 
者 除了 在 安全 日 志 中 留 下 痕迹 ,在 系统 和 应 用 程序 日 志 中 也 会 留 下 蛛丝马迹 。 
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审核 登录 事件 属性 


图 4-142 审核 的 设置 


BE YE 

文件 四 操作 人 查看 W)。 于 助 吕 

?| 加 园 贸 

JE 事件 查看 器 本地 ) 


应 用 程序 错误 记录 
安全 审核 记录 
系统 错误 记录 已 第 选 ) 


4-143 ”事件 查看 器 


【 例 4-12】 查看 上 网 时 间 。 
(1) 在 “事件 查看 器 ” 左 侧 的 窗口 中 右 单 击 “ 系 统 ”, 执 行 “属性 ”命令 ,在 “系统 属性 ”对 话 
框 中 打开 “筛选 器 ”选项 卡 , 在 “事件 来 源 ” 中 选择 RemoteAccess, 如 图 4-144 所 示 。 


[EEL 
事件 类 型 
回信 息 G) 成 功 审核 G) 
回 区 省 @) 失败 审核 L) 
回 错误 O) 


事件 来 源 
类 别 QD: 


事件 D0) 


用 户 四 ): 
计算 机 如 


从 四: [第 一 个 事件 
到 名: [最 后 一 个 事件 


图 4-144 ”筛选 RemoteAccess 事件 
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(2) 单 击 “ 确 定 ” 按 钮 , 回 到 “事件 查看 器 ” 主 窗 口 ,在 右边 的 界面 中 就 会 显示 出 上 网 的 开 
始 时 间 和 结束 时 间 , 相 邻 的 两 个 时 间 中 较 早 的 就 是 开始 上 网 的 时 间 , 较 晚 的 则 是 下 线 的 时 
间 , 如 图 4-145 所 示 。 


目 李 件 查看 人 

文件 FE) 操作 &) 查看 WW) 帮助 0D 

叶 沙 | 向 | 国 轿 加 驹 | 岛 

| 加 事件 查看 器 (本地) | 素 坑 。 山寺 的 可 看 显示 于 了 事件 中 的 174 
时 间 


图 4-145 上 网 时 间 的 查看 


【 例 4-13】 查看 计算 机 开关 机 时 间 。 

(1) 在 “事件 查看 器 ” 左 侧 的 界面 中 右键 单 击 “ 系 统 ”, 执 行 “ 属 性 ”命令 ,在 “系统 属性 ”对 
话 框 中 打开 “筛选 器 ”选项 卡 , 在 “事件 来 源 ” 中 选择 eventlog。 

(2) 单 击 “ 确 定 ” 按 钮 , 回 到 “事件 查看 器 ” 主 窗口 ,双击 界面 右 侧 的 某 条 记录 ,如 果 在 出 
现 的 对 话 框 中 显示 “事件 服务 已 启动 ”, 对 应 的 时 间 就 是 计算 机 开机 或 重新 启动 的 时 间 ; 如 
果 描 述 的 信息 是 “事件 服务 已 停止 ", 其 对 应 的 时 间 就 是 计算 机 的 关机 时 间 , 如 图 4-146 
所 示 。 


事件 详细 信息 


日 期 &): ”2005-8-23 来 源 G) EventLog 
时 间 吧 :17:54:47 ” 关 别 到 ) 无 

类 型 @E): ”信息 事件 DO): 6005 
用 户 QD: WA 

计算 机 (0): HEIN-4ATFOC8380 


图 4-146 查看 计算 机 开关 机 时 间 


4.11.6 主机 入 侵 防 御 系 统 


主机 入 侵 防 御 系 统 (Host Intrusion Prevent System, HIPS) 与 传统 意义 的 防火 墙 和 杀 
毒 软件 不 同 , 它 并 不 具备 特征 码 扫 描 和 主动 杀毒 等 功能 , 它 是 一 种 将 系统 控制 权 交 给 用 
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户 的 防御 体系 , 它 的 作用 是 让 用 户 了 解 一 个 进程 的 加 载 情况 并 让 用 户 决定 这 个 进程 能 和 否 
运行 , 换 句 话说 ,系统 的 安全 性 取决 于 用 户 本 身 。 如 图 4-147 所 示 的 是 HIPS 软件 Malware 
Defender。 


[Daalvare Defender - [规则 ] [c-Si 
文件 编辑 包 查看 W) 规则 8) 工具 上 ) 天 助人 四 -四 -| 讨 | 呈 SPIBICIg 
加 规则 | 辐 进程 | 辐 内 术 术 由 | 吉 网 8 靖 口 | 25 区 子 | 和 自动 运行 程序 | 加 文 件 ] 只 注册 表 
名 称 类 型 读 修改 /执行 
6) 
Ep 文件 性] NX 
田 司 自动 运行 程序 所 在 位 置 文件 组 允许 ”询问 
田 僻 | 所 有 执行 文件 文件 组 区 许 ”询问 
田 合 系统 执行 文件 文件 组 允许 ”询问 
田 合 系统 关键 文件 许 ”询问 
国 ? 尽 文件 ( 疏 文件 ) 共 许 ”询问 
日 毕 全 局 注册 表 规 则 5) 
Ea 注册 表 交 许 
tt) | 
时 间 进程 | 操作 目标 
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图 4-147 HIPS 软件 


目前 主机 入 侵 防 御 系 统 可 提供 三 种 防御 : 应 用 程序 防御 体系 (Application Defend， 
AD) .注册 表 防 御 体系 (Registry Defend,RD) .文件 防御 体系 (File Defend,FD)。 它 通过 可 
定制 的 规则 对 本 地 的 运行 程序 .注册 表 的 读 写 操作 以 及 文件 的 读 写 操作 进行 判断 并 允许 或 
禁止 。 这 三 种 体系 合 称 为 3D ,根据 实际 情况 ,并非 所 有 HIPS 都 提供 了 完整 的 3D 体系 , 例 
如 文件 防御 体系 就 经 常 被 取消 。 

1. 应 用 程序 防御 体系 

AD 是 大 部 分 HIPS 最 重要 的 功能 ,这 个 功能 的 优 劣 足以 直接 影响 系统 安全 。 

AD 通过 拦截 系统 调用 函数 来 达到 监视 目的 , 当 一 个 程序 请 求 执行 时 ,系统 会 记录 该 程 
序 的 宿主 , 即 该 程序 的 执行 请 求 由 哪个 程序 发 出 。 

在 Windows 里 ,用 户 启 动 的 程序 ,其 宿主 为 Windows 外 壳 程 序 Explorer. exe。 因 为 用 
户 的 交互 界面 是 由 该 程序 负责 的 ,用 户 双 击 鼠 标 执行 一 个 程序 时 ,实际 上 就 是 通过 
Explorer. exe 向 内 核 传递 的 消息 ,于 是 它 便 成 为 用 户 程序 的 宿主 。 

并 非 所 有 程序 都 是 通过 Explorer. exe 执行 的 ,系统 自身 也 执行 着 许多 基本 进程 ,这 些 
进程 几乎 都 由 smss. exe 所 产生 。 而 这 些 通过 smss. exe 产生 的 进程 又 能 成 为 其 他 进程 的 宿 
主 ,如 services. exe 成 为 svchost. exe 的 宿主 等 ,这 些 层 层 释 释 的 关系 被 称 为 “进程 树 ” 
(Process Tree) 。 


当 程 序 执行 的 请 求 被 系统 捕获 后 , 系统 会 产生 一 个 创建 进程 的 函数 调用 , 称 为 
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CreateProcess ,位 于 kernel32. dll。 这 个 函数 的 功能 是 执行 一 些 基 本 的 初始 化 工作 ,然后 将 
程序 请 求 封装 传递 到 内 核 接口 ntdll 的 NtCreateProcess 函数 中 。 该 函数 把 有 关 的 参数 从 
用 户 空间 拷贝 到 内 核 并 做 进一步 处 理 ,直至 最 后 新 的 进程 被 成 功 创建 ,而 ntdll 也 只 是 个 内 
核 接口 而 已 ,实际 的 内 核 体 是 ntoskrnl. exe。 程 序 员 通过 编写 内 核 驱动 拦截 NtCreateProcess、 
NtCreateSection 等 函数 就 实现 了 对 创建 进程 的 控制 。 在 这 点 上 ,病毒 作者 和 安全 专家 做 的 
事情 都 是 相同 的 ,只 不 过 用 来 实现 破坏 系统 安全 作用 的 被 称 为 Rootkit 木马 ,用 来 保护 系统 
的 被 称 为 “应 用 程序 防御 体系 ”而 已 。HIPS 的 “应 用 程序 防御 体系 ”也 是 通过 驱动 拦截 实现 
的 ,只 是 它 把 创建 进程 的 决定 权 交 给 用 户 。 

在 HIPS 的 监视 下 , 当 一 个 进程 被 请 求 创 建 时 ,用 户 层 的 应 用 程序 接口 函数 
CreateProcess 被 拦截 并 被 获取 调用 参数 来 分 析出 程序 的 执行 体 和 宿主 等 ,然后 HIPS 将 这 
个 执行 请 求 挂 起 (暂停 执行 CreateProcess 及 以 后 的 步骤 ) ,并 于 桌面 弹出 一 个 对 话 框 报告 用 
户 当 前 拦截 的 进程 创建 信息 ,其 中 包括 执行 体 、 宿 主 \ 被 拦截 的 API 等 ,最 后 等 待 用 户 决 定 
是 否 继续 让 其 执行 。 

用 户 必 须 具备 相关 的 进程 概念 ,如 桌面 快捷 方式 和 幕后 调用 的 可 执行 程序 实际 文件 
名 的 对 应 关系 ,这 样 才 不 至 于 出 现 一 头 雾 水 的 后 果 。 用 户 的 决定 对 于 系统 安全 才 是 致 
命 的 。 

HIPS 的 AD 体系 不 仅 能 拦截 到 用 户 或 某 个 程序 产生 的 进程 创建 请 求 , 它 还 能 拦截 到 
进程 产生 的 所 有 操作 ,如 DLL 加载, 组 件 调 用 等 ,这 样 也 能 用 它 来 拦截 一 些 DLL 形态 的 进 
程 注 入 。 

例如 ,用 户 在 浏览 网 页 时 , HIPS 突然 报告 说 浏览 器 进程 “试图 创建 123. exe 进程 ”, 或 
者 运行 某 些 安装 程序 时 HIPS 拦截 到 该 安装 程序 “试图 创建 1. exe 进程 ”, 只 要 用 户 选取 了 
“拒绝 执行 "功能 ,这 些 潜在 的 木马 就 无 法 入 侵 用 户 的 系统 了 一 一 但 是 要 注意 一 点 , 那 就 是 木 
马 本 体 已 经 被 释放 或 下 载 回 来 了 ,只 是 它们 无 法 被 执行 而 已 。 

HIPS 不 是 杀毒 软件 , 它 不 能 阻止 非法 程序 的 下 载 和 释放 ,更 不 提供 自动 删除 文件 的 功 
能 , 它 所 做 的 ,只 是 拦截 进程 操作 而 已 ,使 用 HIPS 保护 的 系统 安全 取决 于 用 户 自身 。 

2. 注册 表 防 御 体系 

在 Windows 系统 结构 中 ,注册 表 一 直 扮 演 着 一 个 重要 角色 ,许多 非法 程序 和 木马 也 
是 通过 修改 注册 表达 到 许多 黑暗 目的 的 ,如 主页 修改 支持 等 。 而 木马 等 程序 的 自 启动 也 
是 由 注册 表 的 启动 项 负责 的 ,因此 ,要 进一步 确保 系统 安全 的 话 , 对 注册 表 的 监视 保护 是 
必须 的 。 

许多 注册 表 监 视 工 具 并 不 能 帮助 用 户 保护 注册 表 , 因 为 它们 仅仅 是 位 于 用 户 层 的 程序 
而 已 ,其 调用 的 API 函数 也 是 经 过 层 层 封装 返回 的 ,在 当前 许多 进入 了 核心 层 的 木马 面前 ， 
这 些 程序 根本 就 是 被 要 猴 的 对 象 。 

要 正确 监视 到 真正 的 注册 表 操作 ,就 必须 进入 核心 层 , 抢 先 拦截 到 系统 相关 的 底层 注册 
表 操 作 函 数 ,这 就 是 注册 表 防 御 体系 的 工作 。 

系统 提供 了 一 系列 的 注册 表 读 写 访问 函数 来 实现 用 户 层 的 功能 ,而 这 些 API 和 之 前 提 
到 的 创建 进程 函数 一 样 ,也 是 一 种 对 系统 内 核 导 出 函数 的 封装 传递 。 如 果 相 关 函 数 被 驱动 
木马 拦截 ,普通 的 注册 表 监 视 程序 ,包括 系统 自 带 的 注册 表 编 辑 器 也 无 法 发 现 某 些 项 目 或 执 
行 相关 操作 ,这 就 是 “ 删 不 掉 的 启动 项 ”的 来 由 。 


2 信息 对 抗 与 网 络 安全 (第 3 版 ) 


在 内 核 层 中 ,注册 表 的 名 称 并 非 为 Registry; 而 是 HIVE( 蜂 集 ), 它 的 数据 结构 称 为 
Cell( 蜂 室 ) ,这 是 最 底层 最 不 可 被 欺骗 的 注册 表 形 态 结构 。 许 多 高 级 的 Rootkit 分 析 程 序 都 
提供 分 析 注 册 表 的 功能 ,实际 上 就 是 通过 分 别 读 取 用 户 层 返回 和 HIVE 数据 结构 来 判断 对 
比 系 统 中 是 否 存在 被 恶意 隐藏 的 数据 项 的 。 分 析 HIVE 文件 是 漫长 的 过 程 ,这 是 对 付 高 
级 隐藏 时 才 不 得 已 而 为 之 的 方法 ,而 平时 安全 工具 只 需要 拦截 到 内 核 层 导出 的 操作 函数 
如 NtOpenKey、NtCreateKey、NtQueryKey 等 就 可 以 了 ,这 正 是 注册 表 防 御 体 系 要 做 的 
事情 。 

RD 默认 提供 了 对 几 个 常见 的 系统 敏感 注册 表 项 进行 监视 ,如 启动 项 、 服 务 驱动 项 、 系 
统 策略 项 .浏览 器 设置 项 等 。 所 有 木马 要 自 启 动 都 必须 经 过 启动 项 或 服务 驱动 项 的 添加 修 
改 来 实现 ,如 要 对 浏览 器 进行 劫持 和 主页 修改 就 得 通过 修改 浏览 器 设置 项 等 ,而 这 些 操作 默 
认 都 被 RD 视 为 敏感 行为 而 拦截 挂 起 ,并 弹出 警告 框 报告 用 户 该 次 操作 的 具体 内 容 和 发 出 
操作 请 求 的 执行 体 。 操 作 最 终 能 否 通过 也 同样 取决 于 用 户 本 身 , 由 于 它 拦截 了 系统 核心 层 
导出 的 API 函数 ,无论 是 木马 还 是 用 户 程 序 的 操作 都 逃 不 过 法 眼 , 从 而 实现 了 真正 有 效 的 
监视 和 拦截 。 

3. 文件 防御 体系 


FD 的 作用 是 监视 系统 敏感 目录 的 文件 操作 ,如 修改 删除 系统 目录 里 的 任何 文件 或 创 
建新 文件 等 ,也 可 用 来 发 现 被 驱动 木马 隐藏 的 文件 本 体 。 

FD 体系 在 许多 杀毒 软件 里 已 经 提供 ,一 部 分 HIPS 为 了 提高 效率 ,并 不 具备 FD, 因 为 
它 相 对 要 消耗 的 资源 比较 大 。 

实现 文件 防御 体系 的 要 点 同样 也 是 拦截 系统 底层 函数 如 NtOpenFile 等 。HIPS 默认 
对 系统 敏感 目录 进行 监控 保护 ,一 旦 发 现 异常 读 写 , 则 把 相关 操作 挂 起 ,并 提示 用 户 是 否 
放行 。 

FD 不 仅仅 只 有 HIPS 提供 ,其 他 安全 工具 如 360 安全 卫士 .超级 巡警 等 也 具备 此 功能 ， 
该 功能 运作 起 来 要 比 前 两 者 消耗 的 资源 大 些 。 

【 例 4-14】 应 用 沙盘 .影子 系统 打造 综合 防御 系统 。 

(1) 沙盘 ,也 叫 沙 箱 ,是 HIPS 的 一 种 , 称 为 沙盘 HIPS。 电 脑 就 像 一 张 纸 ,程序 的 运行 
与 改动 ,就 像 将 字 写 在 纸 上 。 而 沙盘 就 相当 于 在 纸 上 放 了 块 玻璃 ,程序 的 运行 与 改动 就 像 字 
写 在 了 那 块 玻璃 上 ,除去 玻璃 , 纸 上 还 是 一 点 改变 都 没有 。 

(2) 沙盘 在 运行 的 程序 与 系统 之 间 建 立 一 个 隔离 层 ,运行 程序 时 ,就 会 将 程序 直接 调 入 
该 隔 层 中 。 此 后 ,程序 对 系统 所 做 的 修改 ,都 会 被 限制 在 这 个 隔离 层 中 , 而 不 会 真正 地 去 触 
及 系统 。 这 样 的 话 ,就 算 电 脑 感染 了 病毒 和 木马 ,也 不 会 对 系统 造成 真正 的 伤害 。 

(3) 允许 在 “沙盘 环境 "中 运行 浏览 器 或 其 他 程序 ,在 沙盘 中 运行 的 程序 所 产生 的 变化 
可 以 随时 删除 。 可 用 来 保护 浏览 网 页 时 真实 系统 的 安全 ,也 可 以 用 来 清除 上 网 、 运 行程 序 的 
痕迹 ,还 可 以 用 来 测试 软件 .测试 病毒 等 用 途 。 即 使 在 沙盘 进程 中 下 载 的 文件 ,也 可 以 随 着 
沙盘 的 清空 而 删除 。 主 流沙 盘 包括 defensewall、.geswall、bufferzone、sandboxie 等 。 

(4) 安装 .运行 sandboxie, 如 图 4-148 所 示 。 

(5) 右键 单 击 * 沙 盘 DefaultBox”, 执 行 “在 沙盘 中 运行 ”1“ 运 行 网 页 浏览 器 ”, 如 图 4-149 
所 示 。 
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售 Sandboxie Control 
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图 4-148 Sandboxie 


i Sandboxie Control 
文件 FE) 查看 人 补 条 人) 配置 化) 
程序 名 


在 小生 中 运行 运行 网 克 济 是 器 凶 
终止 程序 I) 运行 电子 邮件 客户 端 引 ) 
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从 开始 荣 单 运行 
二 除 保存 内 容 D) i 
袖 让 供认 秩 0 运行 是 ndovs 资源 答 理 器 


宰 盘 设置 G) 


重 命 名 沙盘 四 
移 除 沙盘 W) 


图 4-149 在 沙盘 中 运行 网 页 浏览 器 


(6) 弹出 默认 浏览 器 ,同时 ,沙盘 中 显示 相关 的 程序 名 ,如 图 4-150 所 示 。 

(7) 右键 单 击 * 沙 盘 DefaultBox”, 执 行 “在 沙盘 中 运行 ”1“ 运 行 任意 程序 ”, 出 现 如 图 4-151 
所 示 的 “在 沙盘 中 运行 "对话 框 。 

(8) 单 击 “ 浏 览 ” 按 钮 ,选择 所 需要 在 沙盘 中 运行 的 程序 即 可 。 

(9) 沙盘 与 虚拟 机 (VMWare、Microsoft Virtual PC 等 ) 的 不 同 之 处 : 虚拟 机 是 在 真实 
的 系统 中 建立 一 个 完全 虚拟 的 另 一 个 操作 系统 (如 在 Windows 中 虚拟 Linux); 沙盘 并 不 需 
要 虚拟 整个 计算 机 , 它 只 根据 现 有 系统 虚拟 一 个 环境 ,让 指定 程序 运行 在 其 中 。 这 样 比较 节 
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信 Sandboxie Control 
文件 EF) 查看 ) 沙盘 @@) 配置 CC) 帮助 中 
FID 


SandboxieRpeSs. exe 


SandboxieDconLaunch. exe 


360se. exe 


360se exe 


360se exe 


SandboxieCrypto. exe 


360se. exe 


ODOC 


360se. exe 


图 4-150 沙盘 中 显示 相关 的 程序 名 


全 [#] 在 沙盘 中 运行 ~- DefaultBox [#] 


输入 程序 或 者 文件 来 名 称 ，Sandboxie 将 为 你 打开 。 
输入 。 半角 句号 ) 来 使 用 Sandbowe 浏览 你 的 点 面 . 


六 人 
取消 上 HE 


图 4-151 “在 沙盘 中 运行 "对 话 框 


约 系 统 资 源 ,对 计算 机 配置 要 求 也 较 低 。 

(10) 影子 系统 隔离 保护 Windows 操作 系统 ,同时 创建 一 个 和 真实 操作 系统 一 模 一 样 
的 虚拟 化 系统 ,就 像 计 算 机 的 虚拟 替身 。 进 入 影子 模式 可 以 保证 在 使 用 电脑 时 ,因为 无 意 操 
作 发 生 破 坏 电 脑 的 改变 不 会 被 保存 下 来 。 例 如 : 不 小 心 删除 了 文件 ,上 网 浏览 留 下 垃圾 文 
件 ,计算 机 不 小 心中 毒 等 。 进 入 影子 系统 后 ,所 有 操作 都 是 虚拟 的 ,不 会 对 真正 的 系统 产生 
任何 影响 。 因 此 所 有 的 病毒 和 流氓 软件 都 无 法 侵害 真正 的 操作 系统 ,因为 侵害 的 只 是 原来 
系统 的 影子 而 已 。 安 装 影子 系统 后 不 降低 电脑 的 性 能 ,启动 影子 系统 也 不 需要 等 待 的 时 间 。 
此 外 影子 系统 的 应 用 非常 广泛 ,如 果 想 安装 一 个 软件 做 测试 ; 如 果 打 算 浏 览 很 多 网 页 ,又 不 
想 网 址 被 记录 ; 如 果 想 阅读 一 封 可 疑 的 邮件 或 者 打开 一 个 可 疑 的 网 站 链接 ,影子 系统 将 是 
系统 安全 的 选择 。 常 用 的 影子 系统 有 : Power Shadow、Shadow Defender 冰冻 精灵 等 。 

(11) 安装 Power Shadow 后 ,开机 会 出 现 三 个 模式 
选择 菜单 : 正常 模式 .单一 影子 模式 、 完 全 影子 模式 ,如 
图 4-152 所 示 。 

(12) 模式 选择 也 可 以 在 系统 启动 后 ,在 “模式 选 
择 ” 中 , 单 击 相 应 的 “进入 ”按钮 实现 ,如 图 4-153 
图 4-152 开机 菜单 所 示 。 


EP 国 Fne 动 ”二 | 面 BafS 丰 zaas 四 a 


选择 工作 模式 


err 


单一 影子 模式 
进入 


完全 影子 模式 


图 4-153 选择 工作 模式 


3) 如 果 选 择 单一 影子 保护 模式 ,电脑 的 系统 盘 ( 通 常情 况 下 为 C 盘 ) 会 被 保护 起 来 。 

在 单一 影子 模式 下 ,木马 或 病毒 攻击 系统 都 是 无 效 的 ,重启 后 就 会 消失 。 可 以 将 需要 保存 的 
工作 存储 在 系统 盘 以 外 的 分 区 盘 符 。 

4) 如 果 选 择 进入 完全 影子 模式 保护 ,影子 系统 会 保护 整 台电 脑 的 所 有 盘 符 ,木马 或 

病毒 对 电脑 中 任何 盘 符 的 攻击 都 是 无 效 的 ,重启 后 就 会 消失 。 可 以 将 需要 保存 的 工作 存 至 
非 保护 的 分 区 或 者 移动 硬盘 。 

(15) 如 果 需 要 保存 文件 到 C 盘 , 或 升级 C 盘 的 软件 , 则 进入 正常 模式 。 

6) 由 于 在 影子 模式 下 所 做 的 任何 改变 都 将 在 重启 后 消失 ,因此 如 果 想 要 修改 系统 设 

置 、 安 装 新 软件 ,增加 删除 修改 文件 等 ,选择 正常 模式 就 可 以 了 。 修 改 后 再 进入 影子 模式 ,这 

样 既 可 以 保护 电脑 ,也 可 以 正常 工作 .学 习 和 娱乐 。 

7) 沙盘 与 影子 系统 的 区 别 : 沙盘 是 对 电脑 的 局 部 进行 保护 ,影子 系统 是 对 整个 系统 

进行 保护 。 沙 盘 一 般 是 设置 某 个 程序 在 “沙盘 ”中 运行 ,而 不 是 将 整个 Windows 都 置 于 “ 影 
了 ?模式 下 。 也 就 是 可 以 很 灵活 地 设置 一 个 或 几 个 觉得 “危险 ”的 程序 运行 在 “沙盘 ” ,而 其 他 
- 切 则 正常 运行 。 因 此 ,对 普通 用 户 来 说 ,沙盘 的 局 部 保护 功能 可 能 会 更 加 方便 。 而 且 , 用 

户 还 可 以 设置 让 沙盘 像 影子 系统 一 样 对 整个 系统 进行 保护 。 


4.12 数据 备份 


数据 备份 是 把 文件 或 数据 库 从 原来 存储 的 地 方 复制 到 其 他 地 方 的 活动 ,其 目的 是 为 了 
在 设备 发 生 故 障 ,或 发 生 其 他 威胁 数据 安全 的 灾害 时 保护 数据 ,将 数据 遭受 破坏 的 程度 降 到 
最 小 。 


4.12.1 数据 备份 与 恢复 
备份 方法 有 “重点 备份 "? 和 “全 面 备 份 ” 两 种 ,“ 重 点 备份 "只 选择 重要 的 数据 和 文档 进行 
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> 


备份 ,速度 较 快 ,适宜 经 常 进行 ;“ 全 面 备 份 " 是 对 所 有 文件 进行 备份 , 速 
进行 。 
1. 基本 备份 方法 


Windows 自 带 了 功能 强大 的 备份 工具 ,通常 情况 下 完全 可 以 满足 日 常备 份 的 需要 , 操 


作 步 又 如 下 : 


(1) 执行 “开始 ”1“ 程 序 ”1 “附件 ”| “系统 工 具 ”| “备份 ”, 出 现 如 图 4-154 所 示 的 备份 工 


具 主 界面 。 


加 备份 工具 - [无 标题 ] 
作业 编辑 四 工具 QD) 帮助 人 0 
欢迎 ”| 备 众 理 媒 体 |] 计划 作业 


欢迎 使 用 备份 工具 高 级 模式 
如 果 愿意， 您 可 以 切换 到 向 导 模 式 ， 使 用 备份 或 还 原 的 简化 设置 。 


备份 向 导 (高 级 ) @) 
备份 向 导 帮 助 您 创 娃 程序 和 文件 备份 。 


还 原 向 导 (高 级 ) (E) 
还 原 向 导 帮 助 您 从 备份 还 原 数据 。 


天 和 人 Re 个 包括 了 部分 的 系统 备份， 即 硕 有 水 统 和 的 软 和 和 全 本 地 
Ee Se 
1 


图 4-154 备份 工具 主 界面 
(2) 单 击 “ 备 份 向 导 ” 按 钮 ,出 现 欢 迎 页 面 ,如 图 4-155 所 示 。 


欢迎 使 用 备份 向 导 


此 让 晤 晤 时 作 全 阁 归 入 | 


不 情 删 除 时 ,可 使 用 备份 副 


要 继续 ,请 单 击 “ 下 一 步 ”。 


4-155 备份 向 导 欢 迎 页 面 
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(3) 单 击 “ 下 一 步 ” 按 钮 ,出 现 图 4-156。 


份 的 内 容 
可 指定 想 备份 的 项 目 。 


选择 要 备份 的 资料 - 

名 客 从 这 全 计算机 的 所 有 项 目 

加 备份 选 定 的 文件 、 驱 动 器 或 网 络 数据 中) 
〇 只 备份 系统 状态 数据 @) 


《上 一 步 @) 


图 4-156 指定 备份 项 目 
(4) 通常 选择 “备份 指定 的 文件 ,驱动器 或 网 络 数据 ”, 单 击 " 下 一 步 ”, 出 现 图 4-157。 


要 备份 的 项 目 
您 可 以 备份 任何 组 合 形式 的 驱动 器 、 文 件 夹 或 文件 。 


国 上 日 导 同上 邻居 


图 4-157 选择 备份 内 容 


(5) 选中 需要 备份 的 文件 或 文件 夹 前 面 的 复 选 框 , 单 击 “ 下 一 步 ” 按 钮 ,出 现 图 4-158。 

(6) 选择 保存 的 位 置 , 输 入 备份 文件 的 名 称 , 单 击 " 下 一 步 ” 按 钮 ,出 现 图 4-159。 

(7) 单 击 “ 完 成 ”按钮 ,系统 进行 备份 ,备份 结束 后 ,出 现 图 4-160。 

2. 高 级 备份 功能 

(1) 在 “完成 备份 向 导 ” 对 话 框 中 单 击 “ 高 级 ”按钮 可 以 进行 更 多 的 设置 ,如 图 4-161 
所 示 。 

“备份 ”程序 支持 5 种 方法 备份 计算 机 或 网 络 上 的 数据 。 

“正常 "是 最 常用 的 备份 类 型 ,效率 比较 高 ,使 用 这 种 备份 类 型 进行 备份 时 ,已 经 备份 的 
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备份 类 型 、 目 标 和 名 称 
您 的 文件 和 设置 储存 在 指定 的 目标 。 


选择 保存 备份 的 位 置 下) 


[rr | (Wx .| 


键入 这 个 备份 的 名称 QD) 
[Escrm 


图 4-158 ”指定 备份 文件 位 置 与 文件 名 


完成 备份 向 导 


创建 了 下 列 还 原 设置 


描述 组 自 障 于 2005-8-24 ,19:41 

内 容 只 备份 某 此 文件、 文件 夹 或 驱动 器 

位 置 文件 

媒体 Ci .Adninistrator\ 卓 面 \Bacleup bkf 

时 间 立即 
关闭 验证 ， 不 使 用 硬件 压缩 ， 附 加 到 我 的 
钳 体 上 ， 首 通 备 份 , 

要 关闭 这 个 向 导 并 开始 备份 ， 请 单 击 “ 完 成 ”。 


要 指定 额外 的 备份 选项 ， 请 单 击 “ 高 
Ei an ER 


4-159 “完成 备份 向 导 ” 对 话 框 


ee 
要 参阅 详细 信息 ， 请 单 击 “报告 ” 。 
强 动 器 Es== = 
标签 [Bacup. bkf 自 膝 了 2005-8-24 ,位 于 19:4 


状态 完成 


已 用 时 间 估计 剩余 时 间 


已 处 理 


图 4-160 备份 完成 
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从 类 型 
可 选择 适合 您 的 需要 的 备份 类 型 


选择 要 备份 的 类 型 IT); 
正当 


< 上 一 步 @)] 人 二 步 吧 


图 4-161 备份 类 型 


文件 将 会 被 清除 “归档 ”属性 ,也 就 是 说 这 个 文件 被 标记 为 “已 经 备份 "下 次 备份 的 时 候 , 如 
果 文 件 没有 修改 就 不 需要 再 次 备份 了 。 

“副本 ”是 一 种 效率 相对 较 低 的 备份 类 型 ,每 次 备份 时 ,所 有 文件 不 论 以 前 是 否 备份 过 ， 
也 不 论 备份 是 否 修改 过 ,一 律 进行 备份 。 

“ 增 量 备份 只 备份 上 一 次 正常 或 增 量 备 份 后 ,创建 或 改变 的 文件 。 它 将 文件 标记 为 已 
经 备份 ( 换 句 话 说 ,存档 属性 被 清除 ) 。 如 果 使 用 正常 和 增 量 备份 的 组 合 ,需要 具有 上 一 次 普 
通 备份 集 和 所 有 增 量 备份 集 ,以 便 还 原 数据 。 

“差异 ?备份 从 上 次 正常 或 增 量 备份 后 ,创建 或 修改 的 差异 备份 副本 文件 。 它 不 将 文件 
标记 为 已 经 备份 ( 换 句 话说 ,没有 清除 存档 属性 )。 如 果 要 执行 普通 备份 和 差异 备份 的 组 合 
则 还 原文 件 和 文件 夹 将 需要 上 次 已 执行 过 普通 备份 和 差异 备份 。 

“每 日 "备份 复制 执行 每 日 备份 的 当天 中 修改 的 所 有 选中 的 文件 。 备 份 的 文件 将 不 会 标 
记 为 已 经 备份 ( 换 句 话说 ,没有 清除 存档 属性 ) 。 

(2) 选择 备份 类 型 后 , 单 击 “下 一 步 "按钮 ,出 现 图 4-162。 


如何 备份 
可 以 指定 验证 、 压 缩 和 阴影 复制 先 项 。 


a 


加 果 可 能 ， 语 使 用 硬件 压缩 0 
潜在 刘 二 的 朵 用 咎 和 名 ， 减少 了 存 


口 停 用 卷 阴影 复制 四 ) 
3 和 本 人 文件 各 从 ， 即使 写 入 文件 操作 正 


[ 下 一 步 中 习 


图 4-162 备份 选项 
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(3) 单 击 “下 一 步 ?按钮 ,出 现 图 4-163。 


备 | 


份 夺 项 
指定 是 否 要 改写 数据 还 是 限制 对 数据 的 访问 。 


如 果 用 来 备份 数据 的 媒体 已 含有 备份 ， 选 择 下 列 一 个 选项 


曲 交 这 个 各 从 了 加 有 各 从 Wj 
〇 苦 的 现 有 备份 @) 
只 有 在 葵 执 现 有 备份 时 下 列 选 项 才 可 用 。 


只 区 许 所 有 者 和 管理 员 访问 备份 数 客 ， 以 及 附加 到 这 
个 媒体 上 的 备份 外 


< 上- 步 @)]F= 步 加 


图 4-163 选择 附加 或 替换 备份 


(4) 如 果 选 择 * 将 这 个 备份 附加 到 现 有 备份 ”那么 备份 时 新 的 备份 内 容 不 会 覆盖 原来 
的 备份 内 容 ,而 是 在 一 个 文件 中 ,以 后 可 以 指定 恢复 到 任何 时 候 , 当 然 所 消耗 的 磁盘 空间 会 
大 一 些 。 如 果 将 其 与 “备份 类 型 进行 巧妙 的 搭配 也 可 以 节省 大 量 的 磁盘 空间 。 如 在 “备份 
类 型 "中 选择 “差异 ”, 就 可 以 尽 可 能 地 节省 磁盘 空间 。 

3. 自动 备份 

自动 备份 为 备份 制定 一 个 “计划 任务 ”, 到 了 指定 的 时 候 计 算 机 会 自动 进行 备份 。 

(1) 在 图 4-163 中 单 击 “ 下 一 步 ” 按 钮 ,出 现 图 4-164。 


备份 时 间 
可 现在 运行 备份 或 计划 以 后 再 运行 。 


什么 时 候 执行 备份 ? 

口 现在 中 

四 用 m 
计划 项 
作业 名 中; 
起 始 日 期 @)- |2005 年 8 月 24 日 于 20:08 


[ 设 定 备份 计划 G) 


ECE-s® 


图 4-164 备份 时 间 对 话 框 
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(2) 选择 “以 后 ”, 单 击 “ 设 定 备份 计划 ”按钮 ,弹出 “计划 作业 ”对 话 框 ,如 图 4-165 所 示 


计划 ”| 设置 | 
已 20:08，2005-6-24 


计划 任务 @) 
一 次 性 


开始 时 间 并 ) 
辆 [20:08 圈 [Bw 


2005 年 8 月 24 日 ba 


口 显示 多 项 计划 如。 


图 4-165 ”指定 计划 任务 
(3) 指定 计划 任务 后 , 单 击 * 确 定 ?按钮 ,完成 备份 时 间 间 隔 和 备份 开始 时 间 的 设置 。 
备份 启动 后 ,最 好 关闭 正在 运行 的 程序 ,因为 有 些 程序 会 对 备份 有 影响 。 如 用 Word 打 
开 一 个 文档 ,该 文档 将 无 法 备份 。 此 外 还 要 养 成 在 其 他 外 部 存储 介质 上 定期 备份 的 习惯 ,如 
光盘 、 网 络 备份 等 。 
4. 数据 还 原 
数据 备份 后 都 会 得 到 一 个 单独 的 文件 ,在 需要 还 原 的 时 候 ,只 要 双击 该 文件 ,在 备份 工 
具 中 选择 “还 原 与 管理 媒体 ”, 如 图 4-166 所 示 。 
罗 备份 工具 - [还原 和 管理 媒体 ] 


回回 加 
作业 CQ) 编辑 EE) 查看 工具 CY) 帮助 0 
欢迎 | 备份 | 还 原 和 管理 媒体 | 计划 作业 | 


贸 扩展 所 需 的 媒体 项 目 ， 选 择 要 还 原 的 项 目 。 右 键 单 击 某 个 媒体 项 目 查看 其 选项 C) 

日 目 六 文件 名 称 大 小 修改 

日 目 国 Bacjesp bkf 创建 了 2005-8-23 15:40 
昌 口 息 c: 


国 *。# 人 8 到 中: 如果 文 件 已 经 存在 - 
原 位 置 国 。 个 着 扫 


图 4-166 数据 还 原 
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选择 需要 还 原 的 文件 或 文件 夹 ,在 “将 文件 还 原 到 ”中 选择 文件 还 原 的 目的 地 , 单 击 “ 开 
始 还 原 ” 按 钮 进行 还 原 。 


4.12.2 Windows 系统 还 原 功 能 


利用 Windows 系统 还 原 功能 ,可 以 在 Windows 出 现 故 障 无 法 启动 或 者 正常 运行 时 恢 
复 到 以 前 的 状态 ,要 实现 这 样 的 功能 ,必须 定期 设置 “还 ER ,然后 才能 在 紧急 情况 发 生 时 
进行 恢复 。 设 置 还 原点 就 如 同 给 Windows 照 一 张 “ 快 照 ”, 当 Windows 被 病毒 或 者 恶意 代 
码 破坏 得 面目 全 非 时 ,系统 还 原 功 能 可 以 根据 这 个 “快照 "对 Windows 进行 “整容 ”, 让 它 恢 

1. 还 原点 的 创建 

还 原点 创建 的 具体 步 又 如 下 : 

(1) 执行 “开始 ”| 程序"|* 附 件 "|* 系 统 工 具 ”|* 系 统 还 原 ”, 出 现 图 4-167。 


称 系统 还 原 


欢迎 使 用 系统 还 原 


你 可 以 用 系统 还原 开销 对 人 的 计算 机 的 有 密 更 改 并 还 
它 的 设置 和 性 允 ， 不 统 还 原 析 示 抽 计算 机 加 一个 , 

于 时 的 | 问 ( 称 为 还 原点 ) 而 不 会 和 失修 景 近 的 工作 ， 加 人 

保存 的 六 件 ， 电子 邮件 ， 或 历史 条 疏 关 列 表 。 


机 一 个 玉音 的 时 间 (多 )] 
系统 还 原 "对 悠 的 计算 机 所 做 的 任何 改动 者 是 可 逆 的 。 加 健一 个 还 原点 GE) 

燃 的 计算 机 自动 包 娃 还 原点 (叫做 系 纺 检查 点 )， 但 是 你 
也 可 以 使 用 "系统 还 原 " 自 娃 自己 的 还 原点 。 加 果 您 要 对 

系统 进行 大 的 更 改 ， 例 如 安装 新 的 程序 或 更 改 注册 表 ， 

这 是 很 有 用 的 


要 继续 ,选择 一 个 选项 ， 烘 后 单 击 "下 一 步 ”。 下 - 步 山 > “】 [取消 CC) 


图 4-167 系统 还 原 界 面 


(2) 选择 “创建 一 个 还 原点 ”, 单 击 “ 下 一 步 ” 按 钮 ,出 现 图 4-168。 

(3) 输入 “还 原点 描述 ”, 单 击 “ 创 建 ”按钮 ,还 原点 创建 成 功 ,如 图 4-169 所 示 。 

2. 系统 还 原 

创建 了 还 原点 后 ,如 果 系 统 被 破坏 .就 可 以 打开 Windows 的 系统 还 原 功 能 进行 还 

(1) 在 系统 还 原 界 面 中 选择 “恢复 我 的 计算 机 到 一 个 较 早 的 时 间 ” 项 , 单 击 “ 下 
钮 ,出 现 图 4-170。 

(2) 选择 日 期 和 还 原点 ,一 路 单 击 “ 下 一 步 ” 按 钮 ,出 现 图 4-171。 
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代 系统 还 原 


创建 一 个 还 原点 


您 的 计算 机 自动 在 计划 的 时 间 内 或 在 安装 特定 程序 之 前 创建 还 原点 。 不 过 ,您 也 可 以 使 用 "系统 还 原 ” 
在 计算 机 计划 之 外 的 时 间 创 妇 您 自己 的 还 原点 。 


在 下 面 的 文本 框 中 为 您 的 还 原点 输入 一 个 描述 。 请 确认 你 辆 入 的 描述 在 稍 后 您 需要 还 原 计算 机 时 容易 


识别 。 


还 原点 描述 
[test 


当前 的 日 其 和 时 间 被 自动 添加 到 | 个 的 还 原点 


能 被 更 改 。 在 继续 前 ， 请 确认 您 辆 入 了 正确 的 名 称 。 


CC <+- 上 (Be) |] (3) ] [ 取消 CC) 


4-168 创建 还 原点 


您 系统 还 原 


还 原点 已 创建 


新 的 还 原点 : 


2005 年 8 月 24 日 
21:11:57 test 


要 执行 另 一 个 任务 ， 单 击 ` 主 页"。 


图 4-169 还 原点 已 创建 
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和 系统 还 原 


选择 一 个 还 原点 


下 面 的 日 历 中 以 黑体 显示 的 日 期 是 所 有 还 原点 可 用 的 日 期 。 此 列表 显示 对 选择 的 日 期 可 用 的 还 原点 。 


可 能 的 还 原点 类 别 包 括 ; 系统 检查 点 (您 的 计算 机 创建 的 计划 好 的 还 原点 ) , 手动 还 原点 (您 自 建 的 还 原点 )， 
以 及 安装 还 原点 (在 特定 程序 安装 时 自动 包 陡 的 还 原点 )。 


1. 在 此 日 历 中 ， 单 击 黑体 明示 的 日 期 2. 在 列表 中 ， 单 击 一 个 还 原点 - 


2005 年 8 月 2005 年 8 月 24 日 
21:11:57 test 


[CSY>  ] CO 


4-170 选择 还 原点 


您 系统 还 原 


确认 还 原点 选择 


选择 的 还 原点 : 


2005 年 8 月 24 日 
21:11 test 


此 换 作 不 会 使 您 丢失 晤 近 的 工作 ， 例 如 已 保存 的 文档 或 电子 邮件 ， 并且 此 哲 作 是 完全 可 地 的 。 
在 恢复 时 "系统 还 原 " 关 闭 Windows。 在 ; 后 ，Windows 用 上 面 显示 的 日 期 和 时 间 的 设置 重 
启动 。 


重要 : 在 继续 前 ， 保 存 您 的 改动 并 关闭 所 有 打开 的 程序 - 


在 关闭 计算 机 之 前 系统 还 原 可 能 震 要 一 些 时 间 收 集 关 于 所 选择 的 还 原点 的 信息 。 


要 恢 提 个 的 计算 机 强 这 一 天 和 时 间 ， 
单 击 "下 一 步 ”。 


4-171 确认 还 原点 


第 4 章 计算 机 网 络 安全 技术 285 


(3) 单 击 “下 一 步 ” 按 钮 ,系统 进行 还 原 ,如 图 4-172 所 示 。 


图 4-172 系统 还 原 
(4) 系统 还 原 完 毕 后 ,自动 重新 启动 ,出 现 图 4-173。 
称 系统 还 原 
@@ 忆 复 让 成 


您 的 计算 机 成 功 被 恢复 到 |: 


2005 年 8 月 24 日 
test 


如 果 此 恢复 不 能 更 正 问题 ， 悠 可 以 ; 
。 选择 另 一 个 还 原点 
。 的 销 此 恢复 


图 4-173 系统 恢复 成 功 
(5) 单 击 “ 确 定 ” 按 钮 ,成 功 恢复 到 指定 的 还 原点 。 


4.12.3 Ghost 备份 


现在 的 操作 系统 越 来 越 庞大 ,安装 时 间 也 越 来 越 长 ,一旦 系统 崩溃 , 重 装 系统 是 一 件 费 
心 费力 的 事情 ,Ghost 能 在 短 短 几 分 钟 内 恢复 原 有 备份 的 系统 。 

“一 键 GHOST” 蚌 一 款 智 能 的 C 盘 备 份 和 恢复 工具 ,在 “一 键 Ghost” 界 面 中 只 需 按 下 
相应 热 键 ,调和 Ghost 程序 ,自动 备份 或 恢复 C 盘 数据 ,操作 步骤 如 下 。 

(1) 运行 “一 键 GHOST” 安 装 文件 ,出 现 如 图 4-174 所 示 的 安装 界面 。 

(2) 连续 单 击 “ 下 一 步 ” 按 钮 ,最 后 出 现 如 图 4-175 所 示 的 安装 完成 界面 。 

(3) 单 击 “ 完 成 ”按钮 ,出 现 如 图 4-176 所 示 的 运行 界面 。 
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ci 


欢迎 使 用 一 键 6HOST 硬 盘 版 


V2009.09.09 正式 版 


支持 64 位 的 Windows7、Vista、2008 

更 新 GRUB4DOS 和 UMBPCI 为 最 新 版 

增加 保 制 扩展 功能 选项 (设置 > 限制) 以 防止 误 备 份 " 
增加 药 机 方案 "(设置 -> 方案 ) Ee 
增加 "恢复 到 初始 设置 "(设置 左下 角 


(设置 以 方便 快速 复原 
撕 加 忆 10020 0S 于 放生 Og 1 庆 集 关注 示 | 


增加 对 新 型 号 HP 和 SONY 专 属 分 区 的 识别 
过 BRAMDRIVE 扩 -8 活性 世 少 民 江 和 垃 吉文 件 产 生 
修正 对 持 关 | 
E20 HL DREYeUG 
修正 GHOSTB 出 现 "Invalid switch 的 BUG 
ce 估 间 了 这 正 支 淹 击 现下 答 合 最 小 系统 委 求 区 BUG 
ds 优盘 版 志 加 傅 插入 U 盘 人 取消 按 思 ,以 
4 光盘 版 使 用 UltralSO 最 新 版 93.5 制 作 
AO) 
图 4-174 ”安装 界面 
Becrorrens 5 OO 
mie DOS 之 家 
doshome.com 
请 选择 : 
团 立即 运行 一 键 ctnsT 


图 4-175 安装 完成 界面 


思 一 从 系统 
1 耽 像 T 工 具 HH 和 助 


这 区 防卫 


打开 管理。 导入 


一 键 GHOST v2009.09.09 


统 欢迎 你 ， 簧 一次 使 用 本 软件 , 请 单 击 [ 备 份 。 
加 一 键 备份 系统 。 名 加 坟 家 全 


一 键 恢复 系统 
人 中 文 向 导 
© GHOST 11.2 
昌 DOS 工 具 箱 
了 


GXOIYLE 


导出 帮助 


外 未 GHO， 请 单 击 [ 号 入 】 


褒 牧 ,我 梅 为 你 安排 一 切 ， 你 去 休息 吧 } 


图 4-176 运行 界面 
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(4) 单 击 “ 备 份 ”按钮 ,系统 重启 ,出 现 如 图 4-177 所 示 的 启动 界面 。 
(5) 选择 “一 键 GHOST” 选 项 并 按 Enter 键 ,出 现 如 图 4-178 所 示 的 GRUB4DOS 界面 。 


n7/U 988 
in98/95/ME/DOS 
Ch/DYUD 1 
uD 


图 4-177 启动 界面 图 4-178 GRUB4DOS 界面 


(6) 选择 第 一 项 并 按 Enter 键 ,进入 “*MS-DOS 一 级 菜单 ”, 如 图 4-179 所 示 。 


图 4-179 “MS-DOS 一 级 菜单 "界面 


(7) 选择 第 一 项 并 按 Enter 键 ,进入 *MS-DOS 二 级 菜单 ”, 如 图 4-180 所 示 。 
(8) 选择 第 一 项 并 按 Enter 键 ,进入 “一 键 Ghost” 主 菜单 ,如 图 4-181 所 示 。 


图 4-180 “MS-DOS 二 级 菜单 "界面 图 4-181 “一 键 Ghost" 主 菜单 


(9) 选择 “一 键 备 份 C 盘 ? 选 项 并 按 Enter 键 ,出 现 “ 一 键 备份 C 盘 ? 提 示 框 ,如 图 4-182 
所 示 。 按 下 键盘 上 的 开 键 ,自动 备份 C 盘 。 

(10) 当 系 统 崩 溃 或 出 现 问题 时 ,可 以 使 用 "一 键 Ghost 程序 将 备份 快速 恢复 。 恢 复 系 
统 的 过 程 与 备份 系统 的 过 程 相似 ,只 需 在 主 界面 中 选择 “一 键 恢 复 C 盘 ”, 在 如 图 4-183 所 示 
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的 界面 中 按 下 键盘 上 的 KK 键 , 即 可 快速 恢复 。 恢 复 过 程 如 图 4-184 所 示 。 
一 迹 备 份 5 全 


EI 2 


10236 HB, 2184 HB used, MIN_C 
D:\~1\C_PAN.6HO, 20480 HB 
36 HB 
e [1], 20480 HB 


Ss 


图 4-184 恢复 C 盘 过 程 


4.13 数据 急救 


对 备份 数据 的 恢复 比较 容易 ,但 是 如 果 数 据 没 有 备份 或 者 连同 备份 一 起 丢失 了 ,或 者 对 
磁盘 进行 了 误 格式 化 、 误 分 区 操作 ,或 者 由 于 病毒 而 使 某 个 分 区 消失 ,这 时 就 可 以 使 用 专门 
的 数据 恢复 工具 ,实现 硬盘 数据 修复 功能 。 


4.13.1 数据 急救 原理 


数据 急救 就 是 将 被 删除 的 文件 重新 找 回 。 数 据 被 删除 或 硬盘 被 格式 化 后 ,文件 并 没有 
被 真正 删除 ,文件 的 结构 信息 仍然 保留 在 硬盘 上 ,除非 新 的 数据 将 其 覆盖 。 

数据 恢复 工具 使 用 模式 识别 技术 找 回 位 于 硬盘 上 不 同 地 方 的 文件 碎 块 ,并 根据 统计 信 
息 对 这 些 文 件 碎 块 进行 重 整 ,接着 在 内 存 中 建立 一 个 虚拟 的 文件 系统 并 列 出 所 有 文件 和 目 
录 。 即 使 整个 分 区 都 不 可 见 、 或 者 硬盘 上 只 有 非常 少 的 分 区 维护 信息 ,只 要 在 删除 文件 、 格 
式 化 硬盘 等 操作 后 ,没有 在 对 应 分 区 内 写 人 大 量 新 信息 ,数据 恢复 工具 都 可 以 高 质量 地 找 回 
交 梓 。 
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为 了 提高 数据 的 修复 率 ,一 旦 发 现 异常 的 文件 丢失 ,或 者 某 个 磁盘 上 的 文件 全 部 丢失 ， 
应 当 立 刻 停止 任何 写 入 操作 (不 要 新 建 任何 文件 ,也 不 要 保存 任何 文件 )。 


4.13.2 数据 恢复 工具 EasyRecovery 


EasyRecovery 的 使 用 非常 方便 ,并 具有 多 项 起 死 回 生 的 功能 : 
(1) 修复 主 引导 扇 区 (MBR ) 。 

(2) 修复 BIOS 参数 块 (BPB) 。 

(3) 修复 分 区 表 。 

(4) 修复 文件 分 配 表 (FAT) 或 主 文件 表 (MFT) 。 

(5) 修复 根 目录 。 

当 硬 盘 经 过 以 下 操作 后 , EasyRecovery 也 可 以 修复 数据 : 

(1) 受 病毒 影响 。 

(2) 格式 化 或 分 区 。 

(3) 误 删 除 。 

(4) 由 于 断 电 或 瞬时 电流 冲击 造成 数据 损坏 。 

(5) 由 于 程序 的 非 正 常 操作 或 系统 故障 造成 数据 损坏 。 

1. 找 回 丢失 的 文件 

(1) 运行 EasyRecovery, 出 现 如 图 4-185 所 示 的 程序 主 界面 。 


Ontrack ES: 


Professional 


4-185 系统 主 界面 


(2) 单 击 “数据 修复 ”出现 图 4-186。 

(3) 单 击 DeleteRecovery ,出现 图 4-187 。 

(4) 选择 丢失 文件 以 前 存放 的 磁盘 分 区 (如 下 盘 )。 如 果 在 窗口 右 下 角 的 “文件 过 滤器 ” 
中 输入 或 选择 文件 类 型 ,可 以 缩小 恢复 的 范围 ,提高 精确 度 。 单 击 * 下 一 步 ?按钮 ,进行 扫描 ， 
如 图 4-188 所 示 。 
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各:N) FAT 32 (14.65 GB) 
CE:\) WIFS (4.49 GB) 


DeletedRecovery 
查找 并 恢复 已 删除 的 文件 . 


RawRecovery 
tt 


EmergencyDiskette 
贡生 相生 的 撕 急 引导 软 


情况 下 ，DeletedRecovery 工具 梅 对 分 区 执行 一 次 快速 扫 图 | 
厂 完全 扫描 
文件 过 源 器 : 
Ww 
| ils Ce *)] 可 


图 4-187 选择 分 区 


图 4-188 扫描 文件 
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(5) 扫描 结束 后 , EasyRecovery 列 出 可 以 修复 的 文件 列表 ,如 图 4-189 所 示 。 


中 你 起 要 恢复 的 文件 , 选择 [下 一 步 ] 进 入 到 选择 目标 位 置 屏 幕 . 选择 [上 一 步 ] 挨 回 到 分 区 选择 屏幕 . 选 
关公 出 退出 该 工具 . 


Ox heinxls... 124.50 WB 9/23/2005 DX 
hinns... ls.50 wm 4/22/2005 Dx 
加 :sup RAR lsum 4/26/2005 Dx 


SO A vsers 
田 侣 向 90000804-6000- 
日 回国 Systen yolume Inforn 
日 口 和 岛 estersfhzo7c341 国 
口外 az 


由 RNEEE es 
厂 合用 过 泥 器 W) 。。_ 过 泥 吕 选项 0] | 


图 4-189 列 出 可 以 修复 的 文件 
(6) 选择 要 修复 的 文件 (如 test. txt) , 单 击 “下 一 步 ?按钮 ,出现 图 4-190。 


选择 要 复制 数据 的 目标 位 置 . 选择 [下 一 步 ] 开始 复制 文件 . 选择 [上 一 步 ] 返回 到 标识 饮 复 文件 屏幕. 选 
择 [取消] 退出 该 工具 . 


恢复 目标 选项 
全 恢复 到 | 本: 


[ 训 览 


信和 到 -个 mrP 妥 器 FTP 项 
厂 多 娃 zip 压 连 包 上 9 Eb 党 0B) 


-恢复 统计 信息 
P| Pr 各 
总 计 大 小 : 2.83 到 目标 浏览 


图 4-190 ”选择 恢复 文件 的 存放 位 置 


(7) 设置 恢复 文件 的 存放 位 置 , 注 意 这 个 位 置 一 定 不 要 与 原来 的 文件 在 同一 个 分 区 中 ， 
否则 一 旦 恢复 失败 ,原来 的 文件 就 可 能 永远 找 不 回来 了 。 单 击 “ 浏 览 ” 按 钮 ,在 出 现 的 对 话 框 
中 选择 DD 盘 , 单 击 “ 下 一 步 " 按 钮 ,将 test. txt 文件 复制 到 D 盘 根 目 录 下 。 

(8) 在 DD 盘 根 目录 中 找到 test. txt 文件 ,恢复 成 功 。 

2. 恢复 被 格式 化 的 硬盘 


硬盘 被 病毒 或 恶意 程序 格式 化 后 ,只 要 抢救 及 时 , 绝 大 多 数 情况 下 都 可 以 将 硬盘 中 的 数 
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据 恢复 。 
在 “数据 修复 ”中 单 击 FormatRecovery ,出 现 图 4-191。 


DN\) FAT 32 (14.65 G8) 
(E:\) WPS (4.49 6B) 


前 的 文件 系统 下 拉 荣 单 允 许 你 为 你 的 分 区 选择 先前 的 文件 系统 类 
， 查 看 帮助 了 解 更 多 信息 - 


图 4-191 选择 已 格式 化 的 分 区 


选择 被 格式 化 的 磁盘 分 区 , 单 击 “ 下 一 步 ” 按 钮 ,EasyRecovery 开始 扫描 。 扫 描 结束 后 ， 
列 出 所 有 找到 的 文件 ,选中 所 有 的 文件 和 文件 夹 , 单 击 “ 下 一 步 " 按 钮 ,然后 设置 目标 位 置 到 
其 他 较 大 的 驱动 器 , 即 可 将 被 格式 化 磁盘 分 区 中 的 所 有 文件 恢复 到 其 他 驱动 器 中 。 

3. 文件 修复 


(1) 在 EasyRecovery 主 界面 中 单 击 “文件 修复 "按钮 ,出 现 图 4-192。 


AccessRepair ExcelRepair 
钢 修复 损坏 的 Wicrosoft 果 收复 损坏 的 Wiorosoft 
Access 数据 库 Excei 电子 表格 


PowerPointRepair WordRepair 
修复 损坏 的 Microsoft 入 修复 损坏 的 Microsoft 
PowerPoint 简报 Word 文档 


CE 人 Zip 


图 4-192 文件 修复 界面 
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(2) 要 修复 某 一 种 类 型 的 文件 ,必须 先 关闭 该 应 用 程序 ,如 要 修复 Word 文件 , 先 关 闭 
Word 程序 ,然后 单 击 WordRepair ,出 现 图 4-193 。 


选择 要 进行 修复 的 文件 , 选择 文件 夹 并 按 下 [下 一 步 ] 按钮 
三 要 修复 的 文件 


「 已 修复 文件 的 文件 严 
他 修复 当前 这 些 文件 赤 中 的 所 有 文件 - 
个 在 下 列 文 件 夹 中 创建 该 文件 已 修复 的 副本 . 


六 ”My 


图 4-193 ”Word 文件 修复 


(3) 选择 要 修复 的 文件 , 按 向 导 提示 一 步 一 步 执行 , 即 可 修复 被 损坏 的 文件 。 
4.13.3 文件 的 彻底 销毁 


如 果 想 将 某 些 资料 彻底 删除 ,并 且 使 用 恢复 软件 也 无 法 恢复 ,这 时 就 需要 使 用 文件 粉 
碎 机 。 

一 般 情 况 下 , Windows 在 删除 文件 时 并 没有 将 文件 真正 从 硬盘 上 抹 去 ,而 仅仅 是 标记 
了 “可 写 ” 来 表明 “这 块 空间 可 以 覆盖 ”, 如 果 没 有 别 的 文件 覆盖 这 块 区 域 ,这 些 文件 将 一 直 保 
留 着 。 文 件 粉 碎 机 的 原理 就 是 在 被 删除 文件 所 占 的 空间 处 重新 写 一 些 东 西 , 以 覆盖 原来 的 
文件 ,使 恢复 软件 失去 作用 。 

File Wipe 是 一 款 很 好 的 文件 粉碎 机 , 它 可 以 将 要 删除 的 文件 随机 产生 十 次 数据 进行 粉 
碎 , 使 要 删除 的 数据 彻底 消失 。 


习 题 


1. 简 述 计算 机 安全 保护 的 目的 及 其 体现 。 
2. 简 述 计算 机 网 络 面临 的 一 般 安全 问题 。 
3. 简 述 网 络 信息 安全 与 保密 所 面临 的 威胁 。 
4. 黑客 实现 人 侵 攻击 的 过 程 分 哪 几 步 ? 

5. 简 述 黑客 软件 的 分 类 。 

6. 简 述 计算 机 病毒 的 特点 与 分 类 。 
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7. 计算 机 病毒 三 大 模块 的 作用 是 什么 ? 
8. 简 述 计算 机 病毒 的 触发 条 件 。 

9. 简 述 计算 机 反 病 毒 技术 。 

10. 上 机 实现 脚本 病毒 的 预防 。 

11. 简 述 木马 的 原理 和 种 类 。 

12. 上 机 实现 冰河 的 清除 与 反 人 侵 。 
13. 上 机 实现 木马 的 检测 与 清除 。 
14. 如 何 预防 木马 ? 

15. 什么 是 漏洞 ? 如 何 修补 漏洞 ? 
16. 简 述 扫描 器 的 作用 。 

17. 上 机 使 用 X-Scan 进行 漏洞 扫描 。 
18. 简 述 网 络 监 听 原 理 。 

19. 如 何 实 现 网 络 监听 的 监测 和 预防 。 
20. 什么 是 拒绝 服务 攻击 ? 

21. 如 何 防 范 拒绝 服务 攻击 ? 

22. 什么 是 共享 攻击 ? 

23. 上 机 实现 共享 的 禁用 。 

24. 简 述 ARP 攻击 及 其 防范 。 

25. 简 述 数据 库 攻击 及 其 防范 。 

26. 简 述 防火 墙 的 目的 和 局 限 。 

27. 简 述 防火 墙 的 主要 技术 。 

28. 简 述 入 侵 检测 系统 的 基本 结构 。 
29. 什么 是 主机 入 侵 防御 系统 ? 

30. 安装 沙盘 .影子 系统 等 打造 综合 防御 系统 。 
31. 上 机 实现 数据 备份 和 还 原 。 

32. 上 机 实现 数据 恢复 。 


第 5 章 日 党 上 网 的 安全 防范 


普通 用 户 在 网 络 上 主要 进行 电子 邮件 的 收发 .使 用 浏览 器 进行 信息 浏览 网络 购物 、 兼 
职 ,投资 以 及 通过 移动 互联 网 进行 上 述 操作 。 本 章 主要 介绍 在 这 些 操作 中 存在 的 安全 隐患 
及 其 防范 与 消除 。 


5.1 电子 邮件 安全 防范 


E-mail 是 Internet 上 最 早出 现 ,也 是 最 流行 的 应 用 之 一 ,许多 信息 的 交流 都 通过 E-mail 
进行 ,甚至 一 些 重要 电子 文档 的 传送 也 由 其 完成 ,因而 E-mail 的 安全 问题 尤其 值得 重视 。 
5.1.1 入 侵 E-mail 信箱 

入 侵 E-mail 信箱 的 主要 目的 是 窃取 信箱 的 密码 ,入 侵 的 方式 主要 有 和 针对 POP3 邮箱 的 
密码 猜测 攻击 和 针对 Web 邮箱 的 密码 猜测 攻击 。 

1. 针对 POP3 邮箱 的 密码 猜测 攻击 

这 是 对 E-mail 信箱 最 常用 ,也 是 最 快速 的 攻击 方法 。 在 使 用 POP3 服务 时 ,用 户 发 送 
密码 信息 在 服务 器 端 进行 身份 验证 。 因 此 攻击 者 可 以 通过 发 送 POP3 连接 登录 请 求 和 密码 
信息 来 猜测 用 户 邮 箱 的 密码 。 由 于 大 多 数 POP3 服务 器 没有 采取 错误 连接 次 数控 制 措施 ， 
使 得 利用 POP3 服务 进行 字典 穷 举 攻击 变 得 简单 易 行 。 

【 例 5-1】 利用 NoPassword 破解 POP3 邮箱 密码 。 

(1) 运行 NoPassword ,出 现 如 图 5-1 所 示 的 界面 。 


服务 器 地 址 
账号 名 称 | 


「 服 : 一 
7 
上 限 |9999999 6 pop3 取消 


5-1 NoPassword 新 任务 对 话 框 


(2) 在 “服务 器 地 址 ”中 填 和 人 POP3 服务 器 地 址 ,在 “账号 名 称 ” 中 填 入 POP3 邮箱 的 账 
户 名 ,在 “服务 器 类 型 "中 选择 POP3, 单 击 “ 确 定 ” 按 钮 ,出 现 图 5-2。 

(3) 执行 “攻击 ”1“ 设 定 攻击 线程 参数 "命令 ,出 现 图 5-3。 

(4) 拖 动 上 方 的 “同时 最 大 展开 线程 数目 ”至 最 右 端 ,表示 同时 打开 100 个 攻击 线程 以 增 
加 攻击 速度 ,在 “攻击 线程 的 优先 级 "中 选择 “优先 ”以 提高 攻击 的 速度 , 单 击 OK 按钮 结束 设置 。 
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和 无 标题 - HoPassword 
文件 到) 攻击 WW) 查看 YY) 帮助 人 
DBaPm? 


主机 :192.168.0.1 账号 :test 协议 :POP3 话 动 攻击 线程 教 :0 ”攻击 素 码 区 辣 : 0 9999999 


攻击 速度 0.00 个 密码 / 黎 | 区 了 | 


图 5-2 ”NoPassword 程序 主 窗口 


设 定 攻击 线程 参数 区 | 
时 最 大 展开 线程 数目 


攻击 线程 的 优先 级 


“普通 个 优先 


图 5-3 设置 攻击 线程 参数 对 话 框 

(5) 执行 “攻击 ”| 开始 攻击 ?命令 开始 进行 攻击 。 

2. 针对 Web 邮箱 的 密码 猜测 攻击 

对 于 Web 方式 登录 的 E-mail 服务 器 ,尽管 可 以 防止 攻击 者 使 用 POP3 服务 猜测 邮箱 
密码 ,但 由 于 用 户 的 账号 和 密码 是 以 HTTP 请 求 方式 发 送 至 E-mail 服务 器 的 ,攻击 者 可 以 
通过 发 送 HTTP 请 求 来 进行 密码 猜测 。 

针对 Web 邮箱 的 密码 猜测 攻击 可 以 使 用 “ 溯 雪 ”进行 破解 ,如 图 5-4 所 示 。 

3. 抵御 E-mail 口令 攻击 的 方法 

抵御 E-mail 口令 攻击 的 最 佳 方法 是 加 强 邮箱 密码 的 安全 性 ,选择 数字 、 英 文字 母 和 特 
殊 字 符 的 组 合 , 并 定期 更 换 密码 。 


5.1.2 E-mail 炸弹 


炸弹 攻击 的 基本 原理 是 利用 工具 软件 ,集中 在 一 段 时 间 内 ,向 目标 机 发 送 大 量 垃圾 信 
息 ,或 是 发 送 超出 系统 接收 范围 的 信息 ,使 对 方 出 现 负载 过 重 、 网 络 堵塞 等 状况 ,从 而 造成 目 
标的 系统 崩溃 以 及 拒绝 服务 。 

网 络 中 最 常见 的 炸弹 有 : IP 炸弹 、E-mail 炸弹 、Java 炸弹 和 硬盘 炸弹 。 

(1) IP 炸弹 : 利用 Windows 系统 协议 的 漏洞 进行 攻击 ,针对 IP 地 址 进行 “ 稻 炸 ”, 使 系 
统 断 线 .蓝屏 .死机 或 重新 启动 。 

(2) E-mail 炸弹 : 以 地 址 不 详 、 容 量 庞大 的 邮件 反复 发 送 到 被 攻击 的 信箱 ,造成 信息 挤 
爆 ,不 能 收 到 信件 ,严重 的 会 使 邮件 服务 器 瘫痪 ,不 能 正常 工作 。 

(3) Java 炸弹 : 有 些 聊 天 室 中 可 以 直接 发 送 HTML 语句 ,攻击 者 通过 发 送 恶意 代码 ， 
使 具有 漏洞 的 用 户 电脑 出 现 蓝屏 、 浏 览 器 打开 无 数 个 窗口 或 显示 巨大 的 图 片 ,最 终 使 计算 机 
系统 资源 耗 尽 而 死机 。 

(4) 硬盘 炸弹 : 运行 后 造成 假 0 道 损坏 ,使 硬盘 不 能 启动 ,是 炸弹 中 危害 性 最 大 的 一 种 。 
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求 讲 委 -DanSnow (Beta 7) EJB) 


文件 全 )】 编辑 年) 查看 @) 收藏 忆 模式 如 导航 如 运行 如 工具 外 选项 @) 帮助 0 
帮 闽 昌国 国 | 守 中 全 回 儒 | 区 全 从 包 甸 / 册 | 回 昌 人 多 | 全 加 | 三 | 


address | 


< 
Elenent Typs Consit Dictionary A| [Ferm Verb Subnit 

< > 
Action of Current URL [History of Current URL Flag 

< > 
完毕 小 相 作 品 1995-2000 


5-4” 漳 雪 程 序 界面 


1. E-mail 炸弹 攻击 

在 各 种 炸弹 攻击 中 ,邮件 炸弹 攻击 是 最 常见 的 攻击 方式 。 利 用 相关 工具 ,任何 一 个 刚 上 
网 的 新 手 ,都 可 以 非常 容易 地 实现 这 种 攻击 ,因为 一 个 邮件 炸弹 程序 只 需要 短 短 几 十 行 就 可 
以 实现 。 事 实 上 ,各 种 层出不穷 的 邮件 炸弹 工具 , 正 是 这 种 攻击 方式 广泛 流传 的 根源 。 

邮件 造成 的 危害 是 可 想 而 知 的 ,由 于 邮件 是 需要 空间 来 保存 的 ,而 到 来 的 邮件 信息 
也 需要 系统 来 处 理 ,过 多 的 邮件 会 加 剧 网 络 连接 负担 ,消耗 大 量 的 存储 空间 ; 过 多 的 投递 会 
导致 系统 日 志文 件 变 得 巨大 ,甚至 溢出 文件 系统 ,这 会 给 许多 操作 系统 带 来 危险 ,除了 操作 
系统 有 崩溃 的 危险 之 外 ,由 于 大 量 垃 圾 邮件 集中 涌 来 ,将 会 占用 大 量 的 处 理 器 时 间 与 带宽 ， 
造成 正常 用 户 的 访问 速度 急剧 下 降 。 对 于 个 人 的 免费 邮箱 来 说 ,由 于 其 邮箱 容量 是 有 限 制 
的 ,邮件 容量 一 旦 超过 限定 容量 ,系统 就 会 拒绝 服务 ,也 就 是 常 说 的 邮箱 被 “ 撑 爆 ” 

【 例 S23 利用 Wsbomb 进行 E-mail 炸弹 攻击 。 

(1) 运行 Wsbomb, 出 现 如 图 5-5 所 示 的 界面 。 

(2) DNS 服务 器 可 自 定义 为 高 速 DNS 地 址 ,也 可 以 取 本 机 的 DNS 地 址 。 发 送 次 数 为 
每 个 邮箱 的 重复 发 送 次 数 。 

(3) 在 左边 的 *E-mall 地 址 列表 ”中 输入 对 方 的 E-mail 地 址 ,一 行 一 个 地 址 ,可 以 同时 
攻击 多 个 邮箱 。 

(4) 分 别 在 “邮件 主题 "、“ 发 送 人 ”和 “邮件 内 容 ” 中 填 入 相应 的 信息 ,其 中 “发 送 人 ”的 
E-mail 地 址 可 随意 更 改 , 包 含 @ 符 号 就 行 了 。 

(5) 单 击 “ 发 送 ” 按 钮 即 可 。 
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DRS 地 址 ; 大 万 ”邮件 主题 : [未 要 乱 坝 坟 未 师 件 1 


超时 ( 秒 ): 发 送 次 数 :|10 发 送 人 : FebmastercvebmasterBwsnail cony 


E-mail 地 址 列表 : 邮件 内 容 : 


请 不 要 乱 发 垃圾 邮件 1 


全 山寺 量 导 ， httpz//www- aslike. net 


图 5-5 ”Wsbomb 程序 界面 


2. 抵御 E-mail 炸弹 攻击 

排除 “邮件 炸弹 ”的 基本 方法 就 是 直接 将 “炸弹 ”邮件 从 邮件 服务 器 中 删除 。 目 前 ,大 部 
分 邮件 处 理 软件 都 具有 “远程 邮箱 管理 ”功能 ,通过 该 功能 可 以 直接 对 邮件 服务 器 中 的 邮件 
进行 删除 .收取 等 操作 。 

如 在 Foxmail 中 执行 “工具 ”|* 远 程 邮箱 管理 ”命令 ,出现 如 图 5-6 所 示 的 “远程 邮箱 管 
理 ” 窗 口 ,Foxmail 连接 到 邮件 服务 器 上 , 取 回 服务 器 中 邮件 的 信息 。 根 据 得 到 的 具体 邮件 
信息 ,给 服务 器 上 的 邮件 打上 ”和 暂 不 收取 ”“ 永 不 收取 ”收取 ”“ 收 取 删 除 "“ 删 除 ”5 种 不 
同 的 标记 。 对 付 “ 邮 件 炸弹 ”, 直 接 标记 为 "删除 ”, 就 可 以 在 服务 器 上 直接 删除 。 


文件 四 服务 器 G) 查看 Q) 选项 四 ) 


与 A | 让 收取 


5-6 远程 邮箱 管理 
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5.1.3 反 垃 圾 邮件 


据 (2014 年 第 一 季度 年 中 国 反 垃圾 邮件 状况 调查 报告 ), 用 户 电子 邮箱 平均 每 周 收 到 的 
垃圾 邮件 数量 为 11.4 封 ,环比 下 降 了 1.2 封 ,同比 下 降 3.2 封 。 电子 邮箱 用 户 平均 每 周 收 
到 的 邮件 中 ,垃圾 邮件 比重 为 38. 2% ,环比 上 升 了 5. 9 个 百分点 ,同比 略微 上 升 了 0.8 个 百 
分 点 。 用 户 电 子 邮 箱 收 到 的 商业 广告 垃圾 邮件 内 容 占 比 前 五 名 分 别 为 网 站 推广 类 (44.7%)、 
旅游 交通 类 (32. 8%) 、 房 地 产 类 (29.0%) ,教育 培训 类 (23.7%) 和 金融 保险 类 (22.7%)。 用 
户 电 子 邮 箱 收 到 的 涉嫌 违法 垃圾 邮件 内 容 占 比 前 五 名 分 别 为 欺诈 信息 类 (46. 1%)、 色 情 暴 
力 类 (31.4%) 、 赌 博 类 (30.4%) ,非法 金融 活动 类 (30. 2%) 和 违法 出 售票 证 类 (29. 8%), 如 
图 5-7 所 示 。 


用 户 收 到 的 涉嫌 违法 垃圾 邮件 内 容 


非法 金融 活动 
违法 出 售票 、 证 类 

病毒 

反动 、 政 治 刘 言 类 
出 售 违 禁 品 

披露 个 人 隐私 及 侮 导 诽 谤 
其 他 类 


0O 5% 10% 15% 20%8 25 30% 35% 408 45 员 50 
加 12321 举 报 中 心 (www.12321.cn) 2014.5 


图 5-7 垃圾 邮件 种 类 


信息 安全 服务 商 卡 巴 斯 基 实验 室 最 新 安全 公告 显示 ,电子 邮件 中 的 垃圾 邮件 比例 持续 
下 降 , 在 过 去 三 年 中 ,垃圾 邮件 比例 已 经 下 降 了 10. 7 个 百分点 ,2013 年 全 球 垃圾 邮件 的 比 
例 为 69.6%, 同 2012 年 相 比 ,下 降 了 2.5 个 百分点 。 包 含 恶 意 附 件 的 邮件 比例 为 3.2%, 同 
2012 年 相 比 ,下 降 了 0. 2 个 百分点 。SophosLab 的 统计 报告 显示 ,2014 年 第 一 季度 中 国 垃 
圾 邮件 数量 占 全 球 垃 圾 邮件 总 数 的 4.1% ,环比 下 降 4.1%, 同 比 下 降 了 5.9% ,中 国 在 全 球 
垃圾 邮件 发 送 量 排名 中 从 上 一 季度 的 第 2 名 降 到 第 5 名 。 

企业 安全 公司 Proofpoint 在 2014 年 1 月 发 布 的 一 份 调查 报告 指出 ,2013 年 12 月 
23 日 一 2014 年 1 月 6 日 ,全 球 有 超过 10 万 台 互联 网 智能 产品 成 为 了 发 送 垃圾 邮件 的 来 源 ， 
其 中 包括 了 大 量 媒体 播放 器 、 智 能 电视 机 以 及 一 台 智 能 冰箱 ,它们 在 这 期 间 总 共 发 出 了 
75 万 份 垃圾 邮件 。 这 些 智 能 设备 里 的 垃圾 邮件 很 难 通过 一 般 计 算 机 使 用 的 防 病毒 和 防 垃 
圾 邮件 软件 程序 来 阻止 ,成 为 非常 严重 的 安全 风险 。 
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1. 垃圾 邮件 的 危害 

垃圾 邮件 给 互联 网 及 广大 用 户 带 来 了 很 大 的 影响 。 这 种 影响 不 仅仅 使 人 们 需要 花费 大 
量 的 时 间 来 处 理 垃圾 邮件 、 占 用 系统 资源 等 ,而 且 也 带 来 了 很 多 的 安全 问题 。 

垃圾 邮件 占用 了 大 量 的 网 络 资源 ,一 些 邮件 服务 器 因为 安全 性 差 ,被 作为 垃圾 邮件 转发 
站 而 被 警告 . 封 IP 地 址 等 事件 时 有 发 生 , 大 量 消耗 的 网 络 资源 使 得 正常 的 业务 运作 变 得 绥 
慢 。 随 着 国际 上 反 垃圾 邮件 事业 的 发 展 ,组 织 间 黑 名 单 共享 ,使 得 无 率 的 服务 器 被 大 范围 地 
屏蔽 ,这 无 疑 会 给 正常 用 户 的 使 用 造成 严重 的 影响 。 

更 为 严重 的 是 ,现在 的 垃圾 邮件 与 人 侵 、 病 毒 等 的 结合 也 越 来 越 密切 ,垃圾 邮件 低 然 已 
经 成 为 黑客 发 动 攻击 的 重要 平台 。 例 如 * 清 醒 变 种 H "蠕虫 病 毒 , 它 在 系统 目录 里 释放 多 份 
病毒 体 ,向 外 大 量 散发 病毒 邮件 ,传播 速度 极 快 ;“ 瑞 波 变 种 XG? 集 蠕虫 .后 门 等 功能 为 一 
身 ,恶意 攻击 者 可 以 利用 此 病毒 远程 控制 中 毒 的 电脑 ,对 外 发 动 攻 击 或 偷窃 用 户 的 资料 等 。 

诈骗 分 子 还 以 垃圾 邮件 的 形式 大 量 发 送 欺诈 性 邮件 ,这 些 邮 件 多 以 中 奖 、 顾 问 、 对 账 等 
内 容 引诱 用 户 在 邮件 中 填 人 金融 账号 和 密码 ,或 是 以 各 种 紧迫 的 理由 要 求 收 件 人 登录 某 网 
页 提交 用 户 名 、 密 码 .身份 证 号 .信用 卡号 等 信息 ,继而 盗窃 用 户 资金 。 例 如 一 种 骗取 美邦 银 
行 (Smith Barney) 用 户 账号 和 密码 的 “网 络 钓鱼 ”电子 邮件 ,该 邮件 利用 了 IE 的 图 片 映射 地 
址 欺骗 漏洞 ,精心 设计 脚本 程序 ,用 一 个 显示 假 地 址 的 弹出 窗口 遮挡 住 了 IE 浏览 器 的 地 址 
栏 , 使 用 户 无 法 看 到 此 网 站 的 真实 地 址 。 当 用 户 使 用 未 打 补丁 的 Outlook 打开 此 邮件 时 , 状 
态 栏 显示 的 链接 是 虚假 的 。 当 用 户 单 击 链接 时 ,实际 连接 的 是 钓鱼 网 站 ,该 网 站 页 面 酷似 
Smith Barney 银行 网 站 的 登录 界面 ,而 用 户 一 旦 输入 了 自己 的 账号 密码 ,这 些 信息 就 会 被 
黑客 窃取 。 

2. 反 垃圾 邮件 技术 

反 垃 圾 邮件 通常 采用 关键 词 过 滤 .黑白 名 单 、 基 于 规则 的 过 滤 、Hash 技术 、 智 能 和 概率 
系统 等 技术 。 

关键 词 过 滤 技 术 通 常 创建 一 些 与 垃圾 邮件 关联 的 单词 表 来 识别 和 处 理 垃圾 邮件 。 某 些 
关键 词 大 量 出 现在 垃圾 邮件 中 ,如 test, 这 种 方式 比较 类 似 反 病毒 软件 利用 的 病毒 特征 , 它 
的 基础 是 必须 创建 一 个 庞大 的 过 滤 关 键 词 列表 。 这 种 技术 缺陷 很 明显 ,过 滤 的 能 力 同 关键 
词 有 明显 联系 ,关键 词 列表 造成 错 报 的 可 能 性 比较 大 。 同 时 ,系统 采用 这 种 技术 来 处 理 邮件 
所 消耗 的 系统 资源 会 比较 多 。 并 且 , 一 般 躲 避 关 键 词 的 技术 比如 拆 词 .组 词 就 很 容易 绕 过 

黑 名 单 和 白 名 单 分 别 是 已 知 的 垃圾 邮件 发 送 者 或 可 信任 的 发 送 者 的 IP 地 址 或 者 邮件 
地 址 ,目前 很 多 邮件 接收 端 都 采用 了 黑白 名 单 的 方式 来 处 理 垃 圾 邮件 ,这 样 可 以 有 效 地 减少 
服务 器 的 负担 。 

基于 规则 的 过 滤 根 据 某 些 特 征 (比如 单词 .词组 ,位置 、 大 小 、 附 件 等 ) 来 形成 规则 ,通过 
这 些 规 则 来 描述 垃圾 邮件 ,正如 IDS 中 描述 一 条 入 侵 事 件 一 样 。 要 使 得 过 滤器 有 效 , 就 意 
味 着 管理 人 员 要 维护 一 个 庞大 的 规则 库 。 

Hash 技术 是 邮件 系统 通过 创建 Hash 值 来 描述 邮件 内 容 , 如 将 邮件 的 内 容 、 发 件 人 等 
作为 参数 ,计算 出 邮件 的 Hash 值 来 描述 这 个 邮件 。 如 果 Hash 值 相同 ,那么 说 明 邮 件 内 容 、 
发 件 人 等 相同 。 通 常 在 一 些 ISP 上 在 采用 ,如 果 出 现 重 复 的 Hash 值 ,那么 就 可 以 怀疑 是 大 
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批量 发 送 邮 件 了 。 

智能 和 概率 系统 广泛 使 用 贝 叶 斯 (Bayesian) 算 法 , 它 的 原理 就 是 检查 垃圾 邮件 中 的 词 
或 字符 等 ,将 每 个 特征 元 素 都 给 一 个 正 分 , 另 一 方面 就 是 检查 正常 邮件 的 特征 元 素 , 用 来 降 
低 得 分 。 最 后 邮件 整体 得 到 一 个 垃圾 邮件 总 分 ,通过 这 个 总 分 来 判断 是 否 是 垃圾 邮件 。 

3. Foxmail 反 垃 圾 邮件 设置 

在 Foxmail 中 执行 “邮箱 ”|* 过 滤器 ”命令 , 单 击 如 图 5-8 所 示 的 “过 滤 管 理 器 ”对 话 框 中 
的 “新 建 " 按 钮 ,在 出 现 的 “过 滤器 ”对 话 框 中 对 邮件 主题 来 源 、 长 度 等 规则 对 邮件 进行 过 滤 ， 
如 图 5-9 所 示 。 


图 5-8 “过 滤 管 理 器 "对话 杠 


| 器 手工 中 
回 符合 以 下 所 有 选中 的 条 件 〇 符合 以 下 任意 一 个 选中 的 条 件 
| 口 娄 # 人 包 S 于 lbttg 的 [ 闭 
| 口 收 件 人 包含 于 地 址 政 的 回 
| 口 发 怕人 包 售 
| 口 收 件 人 包 合 
| 口 主题 中 包 合 
| 口 附件 名 包 合 
| 口 邮 件 头 包含 


| 口中 包 人 
| 口 任何 地 方 包含 

| 口 邮 件 大 小 为 

| 口 发 结 我 的 邮件 


加 回回 图 加 加 加 四 


口 抄 送 给 我 的 邮件 


图 5-9 “过 滤器 ”对 话 框 
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在 Foxmail 中 执行 “工具 ”I1“ 反 垃圾 邮件 功能 设置 "命令 ,出 现 如 图 5-10 所 示 的 “ 反 垃 圾 
邮件 设置 ?对 话 框 ,包含 了 Foxmail 的 反 垃 圾 邮件 功能 。 


反 垃 节 邮 件 设置 


加 接收 闻 件 中 被 判定 为 垃圾 邮件 的 自动 转移 到 垃圾 邮件 箱 旭 
加 邮件 被 手工 标记 为 垃圾 邮件 时 他 ) 


加 苇 欧 到 垃圾 邮件 箱 Q) 
OM) 


图 5-10 反 垃 圾 邮件 设置 


Foxmail 在 收取 邮件 时 的 反 垃圾 邮件 实现 过 程 如 下 : 

(1) 使 用 “ 白 名 单 ” 对 邮件 进行 判断 ,如 果 发 件 人 的 E-mail 地 址 包含 在 * 白 名 单 ” 中 , 则 
把 该 邮件 判定 为 非 垃 圾 邮件 ,否则 ,继续 进行 判断 。 

(2) 使 用 “ 黑 名 单 ” 对 邮件 进行 判断 ,如 果 发 件 人 的 E-mail 地 址 或 名 字 包 含 在 黑 名 单 
中 , 则 把 该 邮件 判定 为 垃圾 邮件 并 直接 删除 ,否则 ,继续 进行 判断 。 

(3) 使 用 “规则 过 滤 ” 对 邮件 进行 判断 。 在 Foxmail 中 定义 了 完善 的 垃圾 邮件 规则 ,每 
条 规则 对 应 一 个 分 数 , 当 邮件 符合 某 一 条 规则 , 则 给 邮件 增加 相应 的 分 数 , 当 邮件 得 到 的 分 
数 达 到 一 定 值 时 ,就 把 该 邮件 判定 为 垃圾 邮件 ,否则 ,继续 进行 判断 。 

(4) 使 用 * 贝 叶 斯 过 滤 ? 对 邮件 进行 判断 。 贝 叶 斯 过 滤 强大 的 反 垃 圾 功能 ,让 系统 能 够 
将 正常 邮件 和 垃圾 邮件 的 特征 词语 采集 出 来 ,为 反 垃圾 判断 提供 基准 。 

4. Web 邮件 反 垃圾 邮件 设置 

登录 Web 邮箱 后 , 单 击 相应 的 选项 ,可 以 进行 反 垃圾 邮件 设置 。 图 5-11 是 在 126 邮箱 
中 单 击 “ 设 置 ” 选 项 后 的 界面 ,可 以 进行 “ 白 名 单 ”“ 黑 名 单 ”“ 反 垃圾 级 别 ”等 设置 。 

垃圾 邮件 软件 

借助 专门 的 反 垃圾 邮件 软件 ,给 垃圾 邮件 制造 者 回复 “退回 ”的 错误 信息 , 告 之 所 发 送 的 
邮箱 地 址 是 无 效 的 ,可 以 免 受 垃圾 邮件 的 重复 骚乱 。 

使 用 如 图 5-12 所 示 的 “MailMate 垃圾 邮件 过 滤 专 家 ” 收 到 一 封 垃圾 邮件 , 单 击 “ 退 回 邮 
件 ” 按 钮 ,垃圾 邮件 制造 者 会 收 到 一 封 “ 退 回 " 信 ,如 图 5-13 所 示 。 
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www,.126.com 


1 网 易 免费 邮 heinhe@@126.com [ 换 肤 ,上 自助 查询 ,密码 保护 ,退出 ] ”设置 | 帮助 | 搜索 邮件 本 


在 发 送 的 邮件 中 加 入 您 的 个 性 
“高 级 搜索 快速 、 准 确 、 径 松 地 找到 所 要 


* 通行 证 资料 。 更 改 申 的 通行 证 资料 


Pe 闻 件 收发 设置 
辕 二 * 囊 -ass 谤 。 HEapfiphmp 人 t、 刘 和 好 . 有 动 回复 。。 当 收 到 来 信 时 ， 系统 会 自动 加 
2 上 - 来信 分 关 。。 邮件 过 诛 器， 格 玉 信 进 行 上 自 动 自贡 发 。 将 到 这 邮箱 的 所 有 邮件 自动 转 ，， 

.2 发 值 。 可 以 汪汪 结 未 下 的 目 己 发 一 寺 邮 覆 。 发 件 人 设置 。 您 可 以 用 这 个 “发 件 人 地 址 ” 
通讯 录 
sd 反 垃 圾 设 轩 

, 自 定 义 广 特赦 + 

a ;| 时 名 入 置 。 襄 村 名 单 ， 自行 过 治 才 邮 件 。。 所 拉 组 引 。 通过 流 轩 ， 交 直 地 件 对 
而 局 . 白 各 单 设置 。 管理 白 各 单 ， 让 好 友 闻 件 入行 无 朋 。 高 细 杀毒 。。 设置 反 病 过 项 ， 远 高 病 志 邮 


图 5-11 Web 邮箱 反 垃圾 邮件 设置 


贺 雪 晨 
hexuechenBshi ep. edu en 
http’//hein. blogen. eon 


图 5-12 收 到 垃圾 邮件 
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© 民 、 


QQ ~ 搜索 收 件 箱 有 联系 人 (名字 


Undelivered Mail Returned to Sender 
国 Neil Delivery Systen 
收 件 人 : hexuechen@shiep. edu cn 


This is the Postfix progran at host mx01.126.com. 


I'n sorry to have to infora you that the nessage 
returned 

below could not be delivered to one or more 
destinations. 


For further assistance, please send mail to 
4 


> PF TT 


If you do so, please include this problem report. [ee | 


图 5-13 垃圾 邮件 制造 者 收 到 的 “退回 " 信 


5.2 网 络 浏览 安全 防范 


2013 年 ,中 国 浏览 器 安全 状况 总 体 上 较为 乐观 : 传统 的 挂 马 网 站 已 不 再 是 威胁 浏览 器 
安全 的 主体 。 这 一 年 ,360 互联 网 安全 中 心 共 截获 新 增 挂 马 网 站 22 472 个 , 较 2012 年 的 
9240 个 增长 了 143. 2% ,平均 每 天 截获 新 增 挂 马 网 站 62 个 。 尽 管 挂 马 网 站 数量 较 2012 年 
有 明显 反弹 ,但 相 比 于 2010 年 的 历史 高 位 , 挂 马 网 站 的 新 增 量 总 体 上 还 是 保持 了 低位 徘徊 
的 态势 ,如 图 5-14 所 示 。 造 成 挂 马 网 站 新 增 量 很 少 的 主要 原因 是 安全 浏览 器 的 普及 ,从 而 
使 挂 马 网 站 的 生存 空间 被 极 大 地 压缩 。 


2010 年 至 2013 年 每 月 新 增 挂 马 网 站 数 趋势 图 


图 5-14 新 增 挂 马 网 站 趋势 图 
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同期 ,钓鱼 网 站 的 新 增 量 快速 增长 ,2013 年 共 截 获 新 增 钓鱼 网 站 220. 1 万 个 , 较 2012 
年 的 87. 3 万 个 增长 了 152. 1% ,平均 每 天 截获 新 增 钓 鱼网 站 约 6030 个 。 图 5-15 给 出 了 
2010 年 至 2013 年 每 月 新 增 钓 鱼网 站 数 的 趋势 图 。 


2010 年 至 2013 年 每 月 新 增 钓 鱼网 站 数 趋 势 国 


30 
25 
号 2 
器 15 
10 
5 
0 
匹克 克 克 克 克 区 克 区 开 区 区 克 开 开 开 区 区 区 开 克 多 
EN 
里 进 进 划 曙 中 过 导 进 进 进 时 进 进 进 时 轩 守 导 进 进 进 划 富 
信人 - 避 -从 =- 装 只 二 二 六 二 洁 二 计 二 沦 听 三 引信 隐 生 加 人 六 三 兴 队 这 加 之 娄 司 各 之 四 


图 5-15 ”新 增 钓 鱼网 站 数 趋势 图 


5.2.1 “网 络 钓鱼 ”及 其 防范 


钓鱼 网 站 是 与 正规 网 络 交易 网 站 外 观 极其 相似 的 欺骗 性 非法 网 站 。 

国际 反 钓 鱼网 站 工作 组 (Anti-Phishing Working Group,APWG) 的 定义 如 下 : 一 种 利 
用 社会 工程 和 技术 诡计 ,针对 客户 个 人 身份 数据 和 金融 账号 进行 盗窃 的 犯罪 机 制 。 

钓鱼 攻击 是 一 种 利用 社会 工程 技术 愚弄 用 户 的 实例 ,这 类 攻击 最 早 于 1987 年 问世 , 首 
度 使 用 "网 络 钓鱼 "这 个 术语 则 是 在 1996 年 ,是 由 Fishing 和 Phone 综合 而 成 (最 早 的 钓鱼 
攻击 通过 电话 作案 ) 的 ,意味 着 放 线 钓鱼 以 * 钓 " 取 受 害 人 的 财务 数据 和 密码 。 

钓鱼 攻击 越 来 越 频繁 地 出 现在 人 们 身边 ,所 带 来 的 经 济 损失 也 超过 了 传统 恶意 代码 攻 
击 ,甚至 已 经 成 为 经 济 犯 罪 工业 化 的 一 部 分 。 

为 了 避免 更 多 的 用 户 成 为 钓鱼 攻击 的 受害 者 ,保障 他 们 的 合法 权利 和 财产 安全 ,在 美国 
和 英国 已 经 成 立 了 专门 反 假 冒 网 址 等 网 络 诈骗 的 组 织 , 如 2003 年 11 月 成 立 的 APWG ,以 
及 2004 年 6 月 成 立 的 TECF (Trusted Electronic Communications Forum)。 

在 国内 ,2008 年 7 月 18 日 ,由 银行 证 券 机 构 、 电 子 商 务 网 站 、 域 名 注册 管理 机 构 、 域 名 
注册 服务 机 构 、 专 家 学 者 组 成 的 “中 国 反 钓鱼 网 站 联盟 (APAC)” 在 京 正 式 宣布 成 立 。 

新 增 数量 最 多 的 钓鱼 网 站 , 占 比 高 达 44%。 人 四 组 。 其 他 

其 次 是 虚假 中 奖 和 模仿 登录 , 占 比 分 别 达 2% 1% 1% 

13%、12%。 此 三 类 钓鱼 网 站 的 新 增 数量 位 
居所 有 类 型 钓鱼 网 站 的 前 三 甲 ,如 图 5-16 
所 示 。 

在 虚假 购物 类 网 站 中 ,最 为 常见 的 是 
“假冒 淘宝 ”, 如 图 5-17 所 示 。 此 类 网 站 利用 
伪造 商品 页 面 诱骗 买 家 支付 ,实际 付款 对 象 
是 不 法 分 子 的 账户 。 有 时 此 类 钓鱼 网 站 也 
会 套 取 受骗 者 的 账号 密码 。 图 5-16 ”钓鱼 网 站 类 型 分 布 
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3650 安 全 浏览 器 6.0 % 文件 下 看 赂 
拟 || X] 全 | 太 | [WB 加 htt [raobao| aeseahomesreamecom usacci # v| 回 . 


§ 


月 脱 游戏 工作 室 - 网 才 - 泡 皇 网 


图 您 好 ， 欢迎 未 淘 主 ! [请 登录 ] [免费 主 册 ] 我 要 ”我 要 志 《从 购 撞车。 收藏 大 付 戎 方式 命 我 9 南 宇 ”社区 阿里 旺旺 ” 介 寻 助 
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图 5-17 假冒 “淘宝 ” 


此 外 ,网 游 交 易 欺诈 、 手 机 充值 欺诈 、 仿 冒 品牌 官网 等 也 都 是 典型 的 虚假 购物 网 站 。 从 
更 广义 的 角度 看 ,仿冒 网 银 、 销 售 假 药 、 虚 假 票务 网 站 也 都 属于 虚假 购物 一 类 ,不 过 由 于 这 几 
类 网 站 相对 特殊 ,危害 性 也 尤其 突出 ,因此 通常 有 必要 进行 专门 统计 。 图 5-18、 图 5-19 分 别 


给 出 了 仿冒 网 银 和 销售 假 药 的 网 站 案例 。 
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图 5-18 仿冒 网 银 
虚假 中 奖 类 网 站 的 数量 虽然 也 超过 了 20% ,不 过 其 中 绝 大 多 数 并 不 很 难 识别 ,只 要 提 


高 警惕 ,增强 自我 保护 意识 ,就 不 容易 上 当 受 骗 。 但 是 ,模仿 登录 类 网 站 则 往往 会 通过 精良 
的 页 面 制作 ,使 其 网 站 看 上 去 十 分 逼真 , 仅 赁 肉眼 一 般 难以 分 辨 。 如 图 5-20 所 示 的 是 模仿 
QQ 安全 中 心 登录 界面 的 高 仿 网 站 截图 。 


据 中 国 反 钓鱼 网 站 联盟 中 心 统计 ,全 球 “ 钓 鱼 "案件 正 在 以 每 年 高 于 200% 的 速度 增长 ， 


受骗 用 户 高 达 5%。 


2014 年 9 月 联盟 共处 理 钓 鱼网 站 4241 个 ,涉及 淘宝 网 .工商 银行 .中 国 银行 .浙江 卫视 
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图 5-20 模仿 登录 网 站 


4 家 单位 的 钓鱼 网 站 总 量 占 全 部 举报 量 的 97. 19%。 其 中 .仿冒 淘宝 网 的 钓鱼 网 站 处 于 钓鱼 
网 站 仿冒 对 象 的 第 一 位 ,如 图 5-21 所 示 。 

1.“ 网 络 钓鱼 ”的 一 般 过 程 

所 谓 “ 姜 太公 钓鱼 , 愿 者 上 钧 ", 钓 鱼网 站 通过 研究 真实 站 点 ,制作 、 发 布 仿冒 站 点 ,把 自 
己 伪装 成 信誉 卓越 的 机 构 以 骗取 用 户 的 信任 。 通 过 大 量 散 发 的 诱骗 邮件 、 垃 圾 短信 ,将 用 户 
引诱 到 精心 设计 ,与 目标 组 织 网 站 非常 相似 的 钓鱼 网 站 之 后 ,攻击 者 再 通过 恶意 代码 窃取 包 
括 账 号 ,密码 等 在 内 的 个 人 敏感 信息 ,最 终 得 以 假冒 受害 者 ,进行 欺诈 性 金融 交易 ,如 图 5-22 
所 示 。 
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图 5-21 钓鱼 网 站 分 布 


图 5-22 ”网络 钓鱼 过 程 


2.“ 网 络 钓鱼 ”的 主要 手法 

除了 发 送 邮 件 实施 “网 络 钓鱼 ”外 ,还 有 以 下 几 种 主要 手法 。 

(1) 建立 假冒 网 上 银行 .网 上 证 券 网 站 ,骗取 用 户 账号 密码 ,实施 盗窃 。 

犯罪 分 子 建立 起 域名 和 网 页 内 容 都 与 真正 网 上 银行 系统 、 网 上 证 券 交易 平台 极为 相似 
的 网 站 ,引诱 用 户 输 入 账号 、 密 码 等 信息 ,进而 通过 真正 的 网 上 银行 .网 上 证 券 系统 或 者 伪造 
银行 储蓄 卡 .证 券 交易 卡 盗窃 资金 ; 有 的 利用 跨 站 脚本 , 即 利 用 合法 网 站 服务 器 程序 上 的 漏 
洞 ,在 站 点 的 某 些 网 页 中 插入 恶意 HTML 代码 ,屏蔽 住 一 些 可 以 用 来 辨别 网 站 真 假 的 重要 
信息 ,利用 cookies 窃取 用 户 信 息 。 

如 2004 年 7 月 发 现 的 某 假 公司 网 站 http://www. lenovo. com, 真 正 网 站 为 http:// 
www. lenovo. com, 诈 骗 者 利用 了 小 写字 和 母 1 和 数字 1 很 相近 的 障 眼 法 。 诈 骗 者 通过 QQ 散 
布 “XX 集团 和 XX 公司 联合 赠送 QQ 币 ” 的 虚假 消息 ,引诱 用 户 访问 。 一 旦 访问 该 网 站 , 首 
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先生 成 一 个 弹出 窗口 ,上 面 显示 “免费 赠送 QQ 币 ” 的 虚假 消息 。 而 就 在 该 弹出 窗口 出 现 的 
同时 ,恶意 网 站 主页 面 在 后 台 通 过 多 种 IE 漏洞 下 载 病毒 程序 lenovo. exe, 并 在 2s 后 自动 转 
向 到 真正 网 站 主页 ,用 户 在 毫 无 觉察 中 就 感染 了 病毒 。 病 毒 程序 执行 后 ,下载 该 网 站 上 的 另 
一 个 病毒 程序 bbs5. exe, 用 来 窃取 用 户 的 传奇 账号 、 密 码 和 游戏 装备 。 当 用 户 通过 QQ 聊 
天 时 ,还 会 自动 发 送 包 含 恶 意 网 址 的 消息 。 

2011 年 上 半年 ,出 现 了 专门 针对 中 国 银行 网 上 银行 系统 的 钓鱼 事件 。 钓 鱼 者 通过 一 个 
成 本 低廉 的 简陋 钓鱼 网 站 以 及 平均 不 足 1 毛 钱 /条 的 手机 短信 ,在 极 短 的 时 间 内 给 网 上 银行 
用 户 带 来 了 近 亿 元 的 巨大 损失 。 

(2) 利用 虚假 的 电子 商务 进行 诈骗 。 

此 类 犯罪 活动 往往 建立 电子 商务 网 站 ,或 是 在 比较 知名 、 大 型 的 电子 商务 网 站 上 发 布 虚 
假 的 商品 销售 信息 ,犯罪 分 子 在 收 到 受害 人 的 购物 汇款 后 就 销声匿迹 。 如 2003 年 ,罪犯 余 
某 建 立 “ 奇 特 器 材 网 ”网 站 ,发 布 出 售 间谍 器 材 、 黑 客 工具 等 虚假 信息 ,诱骗 顾 主 将 购 货款 汇 
和 其 用 虚假 身份 在 多 个 银行 开 立 的 账户 ,然后 转移 钱 款 。 

除 少数 不 法 分 子 自己 建立 电子 商务 网 站 外 ,大 部 分 人 采用 在 知名 电子 商务 网 站 上 ,如 
“淘宝 ”“ 阿 里 巴巴 "等 ,发 布 虚假 信息 ,以 所 谓 “ 超 低 价 ”“ 免 税 ”“ 走 私 货 ”*" “慈善 义卖 ”的 名 
义 出 售 各 种 产品 ,或 以 次 充 好 ,以 走私 货 充 行 货 , 很 多 人 在 低 价 的 诱惑 下 上 当 受 骗 。 网 上 交 
易 多 是 异地 交易 ,通常 需要 汇款 。 不 法 分 子 一 般 要 求 消费 者 先 付 部 分 款 , 再 以 各 种 理由 诱骗 
消费 者 付 余 款 或 者 其 他 各 种 名 目的 款项 ,得 到 钱 款 或 被 识破 时 ,就 立即 切断 与 消费 者 的 
联系 。 

(3) 利用 木马 和 黑客 技术 等 手段 窃取 用 户 信息 后 实施 盗窃 活动 。 

木马 制作 者 通过 发 送 邮件 或 在 网 站 中 隐藏 木马 等 方式 大 肆 传 播 木马 程序 , 当 感 染 木马 
的 用 户 进行 网 上 交易 时 ,木马 程序 即 以 键盘 记录 的 方式 获取 用 户 账 号 和 密码 ,并 发 送 给 指定 
邮箱 ,用 户 资金 将 受到 严重 威胁 。 

如 木马 “证 券 大 盗 ”, 通 过 屏幕 快照 将 用 户 的 网 页 登录 界面 保存 为 图 片 ,并 发 送 到 指定 邮 
箱 。 黑 客 通过 对 照 图 片 中 鼠标 的 单 击 位 置 , 就 很 有 可 能 破译 出 用 户 的 账号 和 密码 ,从 而 突破 
软 键盘 密码 保护 技术 ,严重 威胁 股民 网 上 证 券 交 易 安全 。 

(4) 利用 用 户 弱 口令 等 漏洞 破解 、 猜 测 用 户 的 账号 和 密码 。 

不 法 分 子 利用 部 分 用 户 贪图 方便 设置 弱 口 令 的 漏洞 ,对 银行 卡 密码 进行 破解 。 如 2004 
年 10 月 ,三 名 犯罪 分 子 从 网 上 搜寻 某 银 行 储蓄 卡 卡 号 ,然后 登录 该 银行 网 上 银行 网 站 ,尝试 
破解 弱 口令 ,并 屡屡 得 手 。 

实际 上 ,不 法 分 子 在 实施 网 络 诈 骗 的 犯罪 活动 过 程 中 ,经 常 采取 以 上 几 种 手法 交织 、 配 
合 进行 ,还 有 的 通过 手机 短信 、QQ、MSN 进行 各 种 各 样 的 “网 络 钓鱼 "不 法 活动 。 

还 有 些 钓鱼 网 站 , 披 上 了 * 合 法 外 衣 ”, 登 上 了 搜索 引擎 的 首页 ,搜索 竞价 排名 ”成 了 多 
鱼网 站 的 保护 伞 。 此 外 ,不 法 分 子 还 会 通过 分 类 信息 网 站 .论坛 、 微 博 发 布 低 价 商品 信息 . 诱 
骗 用 户 访问 钓鱼 网 站 。 

案例 1 2014 年 初 ,资深 互联 网 人 士 “ 一 叶 千 鸟 " 在 淘宝 上 通过 搜索 找到 一 个 邮票 卖家 。 
对 方 表示 因 购 买 量 大 ,可 联系 老板 QQ, 会 有 更 多 优惠 。 于 是 “一 叶 千 鸟 ? 便 通过 QQ 联系 到 
所 谓 的 “老板 ”。 对 方 服务 甚 好 ,还 通过 QQ 发 送 了 产品 实物 图 ,而 这 个 “实物 图 ”是 个 RAR 
压缩 包 , 里 面包 含 了 被 伪装 成 图 片 文件 的 “网 购 木 马 ”EXE 执行 程序 。“ 一 叶 千 鸟 ” 双 击 “ 图 
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片 文件 ”进行 查看 ,然后 继续 交易 。 结 果 , 三 次 尝试 使 用 支付 宝 进行 支付 都 显示 支付 失败 。 
而 实际 上 ,交易 已 经 被 木马 劫持 ,5. 46 万 资金 已 经 被 转移 到 第 三 方 支付 平台 “ 汇 付 天 下 ”而 
非 “支付 宝 ” 账 户 中 ,进而 转移 到 网 易 宝 账户 并 购买 了 大 量 游戏 点 卡 和 手机 充值 卡 充值 给 上 
百 位 用 户 ,完成 洗钱 过 程 。 此 过 程 时 间 很 短暂 ,只 需 数 个 小 时 甚至 更 短 的 时 间 。 一 旦 完成 洗 
钱 过 程 , 追 回 损失 则 会 非常 困难 。 

案例 2 2014 年 5 月 9 日 下 午 , 吴 女士 在 淘宝 网 上 给 自己 的 宝宝 购买 电动 玩具 车 和 衣 
物 ,几经 对 比 选择 了 一 家 名 为 “ 花 蝴 蝶 啊 飞 猫 ”的 店铺 , 几 件 东西 加 起 来 一 共 788.5 元 。“ 因 
为 我 使 用 的 是 招行 信用 卡 ,支付 的 时 候 每 笔 不 能 超过 500 元 ,卖家 就 表示 帮 我 把 这 笔 单 拆 成 
475 元 和 313. 5 元 ,然后 给 了 我 一 个 http://big5. ifeng. com/gate\ big5/t. taobao. com - 
lewa. tk:81/t/item. htm/1. asp?ai 一 46784 的 链接 ,让 我 进去 付款 即 可 。? 单 击 链接 以 后 , 吴 
女士 像 往常 一 样 拍 下 货品 . 单 击 付款 ,并 由 支付 宝 跳 转 至 网 银 支 付 。 但 在 支付 后 , 吴 女 士 的 
淘宝 账户 中 却 没有 任何 成 交 记 录 ,一头 雾 水 的 她 赶紧 和 卖家 联系 ,卖家 称 * 付 款 的 时 候 系统 
出 现 了 问题 ,让 我 再 付 一 次 ”。 但 再 次 支付 后 , 吴 女 士 却 收 到 了 四 条 银行 交易 的 通知 ,475 元 
和 313. 5 元 的 订单 各 支付 了 两 次 。 当 吴 女 士 意识 到 自己 上 当 后 ,通过 淘宝 客服 查询 ,发 现 资 
金 已 经 被 黑客 在 www. changyou. com 网 站 上 购买 了 虚拟 物品 ,难以 追 回 。 这 是 最 典型 的 一 
种 网 络 钓鱼 ,问题 就 出 在 那个 钓鱼 链接 上 , 它 根本 不 是 淘宝 网 站 的 链接 ,而 是 一 个 钓鱼 网 站 。 
该 链接 中 虽然 含有 taobao. com 字样 ,但 与 淘宝 网 并 没有 关系 ,只 是 随意 注册 的 二 级 域名 ,很 
容易 让 人 迷惑 。 在 单 击 了 钓鱼 链接 之 后 , 吴 女 士 进入 了 一 个 “钓鱼 ”网 站 ,她 虽然 输入 了 自己 
的 支付 宝 账户 和 密码 (会 被 钓鱼 后 台 记 录 ) ,但 其 实 这 些 都 是 虚假 的 ,只 有 到 了 跳 转 网 银 那 一 
步 才 是 真实 的 (此 次 交易 是 钓鱼 者 发 起 的 )。 吴 女士 根本 就 没有 登录 过 自己 的 支付 宝 账户 ， 
而 是 直接 用 网 银 将 自己 银行 卡 里 的 钱 转 到 了 ”钓鱼 者 ” 想 要 吴 女 士 充值 的 支付 宝 等 账户 中 ， 
然后 “钓鱼 者 ”迅速 购买 游戏 币 充值 卡 等 虚拟 物品 完成 洗钱 过 程 。 

案例 3 2014 年 4 月 8 日 ,中 南 民族 大 学 大 三 学 生 潘 志 强 因 旧 手机 损坏 , 需 购买 一 部 新 
手机 , 便 通 过 搜索 引擎 进入 一 个 自以为是 华为 手机 的 官方 网 站 。“ 那 个 网 站 跟 官网 做 得 一 模 
一 样 , 没 多 想 就 支付 了 998 元 钱 ," 潘 志 强 表示 。 经 室友 提醒 , 潘 志 强 注意 到 这 个 网 站 的 订单 
号 是 由 日 期 生成 的 ,而 正规 官方 网 站 则 是 无 序数 字 ,咨询 华为 客服 后 , 潘 志 强 才 意 识 到 自己 
被 骗 了 。 目 前 ,搜索 引擎 是 钓鱼 网 站 传播 的 主要 途径 ,比例 高 达 43. 2% ,竞价 排名 是 使 钓鱼 
网 站 登 上 搜索 结果 前 面 几 条 的 主要 方式 。 

3. 防范 “网 络 钓鱼 ” 

针对 以 上 不 法 分 子 通常 采取 的 网 络 欺诈 手法 ,可 以 采取 以 下 防范 措施 。 

(1) 收 到 有 以 下 特点 的 邮件 要 提高 警惕 。 

@ 伪造 发 件 人 信息 ,如 ABC@abcbank. com; 

@ 问候 语 或 开场 白 模仿 被 假冒 单位 的 口吻 和 语气 ,如 “亲爱 的 用 户 ”; 

@ 内 容 为 传递 紧迫 的 信息 ,如 以 账户 状态 将 影响 到 正常 使 用 或 宣称 正在 通过 网 站 更 新 
账号 资料 信息 等 ; 

@ 索取 个 人 信息 ,要 求 用 户 提供 密码 、 账 号 等 信息 ; 

@ 以 超 低 价 或 海关 查 没 品 等 为 诱饵 诱骗 消费 者 。 

(2) 在 进行 网 上 交易 时 要 注意 做 到 以 下 几 点 。 

@ 核对 网 址 ,看 是 否 与 真正 网 址 一 致 ， 
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@ 选 受 和 保管 好 密码 ,不 要 选 诸如 身份 证 号 码 、 出 生日 期 \ 电 话 号 码 等 作为 密码 ,使 用 
字母 ,数字 混合 密码 ,尽量 避免 在 不 同系 统 中 使 用 同一 密码 ; 

@ 做 好 交易 记录 ,对 网 上 银行 .网 上 证 券 等 平台 办 理 的 转账 和 支付 等 业务 做 好 记录 , 定 
期 查看 “历史 交易 明细 ”和 打印 业务 对 账单 ,如 发 现 异 常 交 易 或 差错 ,立即 与 有 关 单位 联系 ; 

@ 管 好 数字 证 书 , 避 免 在 公用 的 计算 机 上 使 用 网 上 交易 系统 ; 

@ 对 异常 动态 提高 警惕 ,如 不 小 心 在 卫生 的 网 址 上 输入 了 账户 和 密码 ,并 遇 到 类 似 “ 系 
统 维护 ?之 类 的 提示 时 ,应 立即 拨打 有 关 客 服 热线 进行 确认 ,万 一 资料 被 盗 ,应 立即 修改 相关 
交易 密码 或 进行 银行 卡 \ 证 券 交 易 卡 挂失 ; 

@ 通过 正确 的 程序 登录 支付 网 关 , 通 过 正式 公布 的 网 站 进入 ,不 要 通过 搜索 引擎 找到 
的 网 址 或 其 他 不 明 网 站 的 链接 进入 。 

(3) 虚假 电子 商务 一 般 具 有 以 下 诈骗 信息 特点 ,不 要 上 当 。 

Q@ 交易 方式 单一 ,消费 者 只 能 通过 银行 汇款 的 方式 购买 , 且 收 款 人 均 为 个 人 ,而 非 公 
司 ,订货 方法 一 律 采 用 先 付款 后 发 货 的 方式 ; 

@ 诈 取消 费 者 款项 的 手法 如 出 一 略 , 当 消费 者 汇 出 第 一 笔 款 后 ,骗子 会 来 电 以 各 种 理 
由 要 求 汇款 人 再 汇 余 款 、 风 险 金 .押金 或 税 款 之 类 的 费用 ,否则 不 会 发 货 , 也 不 退 款 ,一 些 消 
费 者 迫 于 第 一 笔 款 已 汇 出 , 抱 着 侥幸 心理 继续 再 汇 。 

(4) 采取 以 下 网 络 安全 防范 措施 。 

Q@ 安装 防火 墙 和 防 病毒 软件 ,并 经 常 升级 ; 

@ 注意 经 常 给 系统 打 补 丁 ,堵塞 软件 漏洞 

@ 禁止 浏览 器 运行 JavaScript 和 ActiveX 代码 ; 

@ 不 要 上 一 些 不 太 了 解 的 网 站 ,不 要 执行 从 网 上 下 载 未 经 杀毒 处 理 的 软件 ,不 要 打开 
MSN 或 者 QQ 上 传送 过 来 的 不 明文 件 等 ; 

@ 提高 自我 保护 意识 ,注意 妥善 保管 自己 的 私人 信息 ,如 本 人 证 件 号 码 、 账 号 、 密 码 等 ， 
不 向 他 人 透露 ; 尽量 避免 在 网 吧 等 公共 场所 使 用 网 上 电子 商务 服务 。 

(5) 进行 网 站 在 线 检测 。 

访问 360 网 站 安全 检测 网 站 (http://webscan. 360. cn/) ,在 如 图 5-23 所 示 的 文本 框 中 
输入 要 检测 的 网 址 进行 检测 ,结果 如 图 5-24 所 示 。 


网 站 安全 ， 从 这 里 开始 


papy/ 


黑 计 析 测 1 550 214 563 个 页 面 发 现 109 897 372 个 漏洞 


图 5-23 网 站 安全 检测 
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www.gzcyop.com +0 


i ee | 网 站 漏洞 “@ 未 检测 漏洞 时 间 : .… 
虚 限 其 详 ”wy 正常 高 拓 涡 酒 ，。 
挂 马 , 恶意 ”其 有 挂 马 或 过 意 严重 漏洞 
0 亚 意 各 改 ”w 正 党 要 尖 泥 酒 
网 名 司 内 容 “wy 正 党 


径 沿 漏洞 … 


网 站 安全 漏洞 

v 正常 
虚假 或 欺诈 网 站 览 控 
v 正常 

挂 马 或 恶意 网 站 监控 


如 果 您 已 经 删除 网 站 的 木马 或 恶意 内 容 ， 或 者 您 的 网 站 确实 没有 挂 马 或 者 不 存在 恶意 内 容 ， 单 击 站 长 申诉 通道 ; 
注 ， 根 据 近期 站 长 反馈 情况 来 看 ， 很 有 可 能 是 被 黑客 入 侵 导 致 挂 马 或 钓鱼 ， 推 荐 使 用 企业 级 安全 服务 


类 型 被 挂 马 的 网 址 详细 说 明 
该 页 面 被 挂 马 | http://www.gzcyop.com/ 


图 5-24 检测 结果 


5.2.2 防止 Cookie 泄露 个 人 信息 


2012 年 年 初 ,谷歌 公司 被 爆 利 用 苹果 公司 Safari 浏览 器 的 漏洞 , 绕 过 该 浏览 器 的 隐私 
设 定 ,跟踪 用 户 的 上 网 习惯 。 随 后 ,美国 联邦 贸易 委员 会 (Federal Trade Commission ,FTC) 
对 谷歌 侵权 一 事 展 开 了 调查 。8 月 ,FTC 要 求 谷歌 缴纳 2250 万 美元 的 罚款 并 彻底 停止 追踪 
用 户 上 网 习惯 的 侵权 行为 。11 月 ,美国 旧金山 地 方法 院 批 准 了 FTC 的 这 一 处 罚 决定 。 而 
美国 的 “消费 者 监察 "机构 则 认为 这 一 处 罚 太 轻 ,FTC 应 该 对 谷歌 至 少 处 以 30 亿美 元 的 

Google 此 次 被 罚 事件 ,使 大 型 搜索 引擎 利用 网 络 跟踪 技术 追踪 用 户 上 网 习惯 的 问题 曝 
光 在 公众 面前 。2013 年 3 月 ,央视 3。15 晚会 也 集中 曝光 了 一 批 利 用 Cookie 跟踪 窃取 用 户 
隐私 信息 的 互联 网 公司 ,并 由 此 引发 了 人 们 对 网 络 跟 踪 可 能 严重 泄露 个 人 隐私 的 普遍 担忧 。 

早 在 2011 年 11 月 W3C (World Wide Web Consortium) 就 提出 了 两 项 标准 的 初步 草 
案 ,它们 的 目的 是 保护 Web 用 户 的 隐私 ,以 及 让 用 户 可 以 选择 退出 Web 跟踪 系统 。2012 
年 10 月 2 日 ,W3C 发 布 “禁止 跟踪 ”的 最 新 标准 草案 ,根据 该 标准 草案 ,用 户 可 以 选择 禁止 
被 网 站 跟踪 。W3C 认为 该 标准 有 利于 改善 用 户 在 互联 网 上 的 体验 ,减少 用 户 网 络 隐私 被 侵 
犯 或 遭 泄 露 的 可 能 性 。 

1. 网 络 跟踪 的 原理 与 危害 

A 和 B 是 两 个 域名 不 同 的 网 站 。 如 果 用 户 在 访问 A 网 站 时 , 回 传 的 页 面 内 容 中 却 包含 
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对 B 网 站 的 访问 请 求 , 则 称 该 用 户 对 B 进行 了 跨 域 访问 ; 如 果 用 户 对 B 网 站 的 访问 请 求 中 
包含 足以 标识 用 户 个 人 身份 的 信息 , 则 可 以 说 : B 网 站 对 该 用 户 实施 了 跟踪 。 图 5-25 为 跟 
踪 技 术 基本 原理 。 


B 站 跟踪 服务 器 用 户 A 站 服务 器 


攻 @ 六 问 请 求 
一 人 站 页 而 信息 
ER 
图 5-25 ”网络 跟踪 原理 


网 络 跟 踪 是 在 用 户 不 知情 的 情况 下 进行 的 。 事实 上 ,跟踪 者 通常 会 与 众多 网 站 组 成 联 
盟 ,并 在 每 一 个 盟友 的 网 页 中 部 署 自己 的 跟踪 代码 。 用 户 无 论 访问 联盟 中 的 哪个 网 站 ,都 会 
被 跟踪 。 而 跟踪 者 则 会 根据 收集 到 的 各 路 信息 对 用 户 进行 特征 分 析 , 之 后 与 同盟 者 分 享 分 
析 结 果 ,并 据 此 进行 精准 的 广告 投放 。 

2. Cookie 跟踪 

网 络 跟踪 的 一 种 最 常见 的 形式 就 是 Cookie 跟踪 。 而 所 谓 的 Cookie 跟踪 ,是 跟踪 者 通 
过 联盟 或 付费 等 方式 ,将 其 跟踪 代码 嵌入 大 量 网 站 中 ,收集 这 些 网 站 用 户 的 网 页 浏览 记录 、 
停留 时 间 购物 商品 等 个 人 信息 ,记录 在 “路 域 Cookie” 数 据 中 。 跟 踪 者 可 以 通过 对 “ 跨 域 
Cookie” 数 据 的 分 析 , 在 一 定 程度 上 掌握 用 户 的 行为 特征 和 上 网 偏好 ,并 可 以 据 此 谋取 特定 
的 商业 利益 。 

网 络 跟踪 就 像 是 在 网 民生 活 的 每 一 个 角落 里 都 装 上 隐蔽 的 摄像 头 , 对 上 网 者 的 一 举 一 
动 进行 全 程 监控 ,而 用 户 不 仅 对 监控 行为 毫 不 知情 ,对 监控 者 的 身份 也 是 一 无 所 知 。 网 络 跟 
踪 虽 然 已 经 广泛 存在 ,但 目前 仍然 处 于 法 律 和 监管 的 真空 地 带 , 可 能 严重 威胁 用 户 的 个 人 隐 
私 安全 。 

第 一 ,跟踪 者 的 身份 是 不 受 约束 的 : 谁 有 能 力 与 网 站 结 成 联盟 , 谁 就 可 以 发 布 跟踪 代 
码 ; 第 二 ,跟踪 行为 是 不 受 约束 的 : 跟踪 者 可 以 根据 自己 的 需要 ,任意 采集 用 户 信息 ,任意 
记录 用 户 行为 ; 第 三 ,跟踪 记录 的 用 途 是 不 受 约束 的 ; 第 四 ,跟踪 者 没有 保密 义务 : 尽管 跟 
踪 记 录 与 分 析 结 果 涉 及 大 量 用 户 隐 私 ,但 跟踪 者 不 但 没有 任何 保密 义务 ,而 且 还 会 与 联盟 者 
分 享 结果 ,从 而 可 能 造成 用 户 隐私 的 二 次 泄露 .三 次 泄露 。 

3. 防止 Cookie 跟踪 

从 技术 角度 看 ,防范 网 络 跟踪 有 两 种 基本 方法 : 一 个 是 禁止 跨 域 访问 ,一 个 是 清理 
Cookie 数据 。 不 过 ,单纯 的 跨 域 访问 并 不 一 定 构成 网 络 跟踪 ,如 果 不 做 辨别 地 禁止 所 有 跨 
域 访问 ,将 可 能 导致 网 站 的 某 些 正常 功能 无 法 使 用 。 类 似 地 ,如 果 总 是 无 差别 地 清除 所 有 
Cookie 数据 ,也 会 使 用 户 上 网 非常 不 方便 ,并 可 能 引起 其 他 一 些 网 站 登录 问题 。 

事实 上 ,如 前 所 述 ,除了 跨 域 访问 之 外 ,网 络 跟踪 还 有 另 一 个 构成 要 件 ,就 是 用 户 信息 采 
集 , 二 者 缺 一 不 可 。 因 此 ,浏览 器 并 不 需要 禁止 所 有 的 跨 域 访问 ,而 只 需要 禁止 那些 采集 或 
携带 了 用 户 身 份 信 息 的 跨 域 访问 请 求 .就 可 以 阻止 网 络 跟踪 。 

类 似 地 ,浏览 器 也 并 不 需要 随时 清理 所 有 的 Cookie 数据 ,而 只 需要 自动 清理 那些 “ 跨 域 
Cookie” 数 据 , 就 可 以 使 跟踪 者 无 法 连续 地 追踪 同一 用 户 , 从 而 防止 Cookie 跟踪 。 
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【 例 5-3】 通过 Internet 选项 设置 阻止 Cookie。 


(1) 在 浏览 器 中 执行 “工具 ”|“Internet 选项 ”命令 ,出 现 如 图 5-26 所 示 的 “Internet 选 
项 ”对 话 框 。 


Internet 选项 


富 规 [安全 | 隐 各 [内容 | 连接 [程序 | 高 级 | 
主页 
可 以 更 疏 主 页 。 
地 址 @B) 
[合用 当前 页 C) 】[ 使 用 黑 愉 页 @) ] [使 用 空 折 页 @) ] 


Internet 临时 文件 
AS， 所 查看 的 Internet 页 存储 在 特定 的 文件 到 中 ,这样 可 以 
提高 以 后 浏览 的 过 度 。 


国际 Cookies 工 ) .|[ 赐 除 文件 EE)- 设置 &)..，] 


历史 记录 


“Mistory” 文 件 训 中 包 合 有 | ， 可 使 用 户 
EE ME 名 已 访问 页 的 链接 快 


网 页 保存 在 历史 记录 中 的 天 数 &)， [20 国 | [ 滞 院 历史 记录 四 


配色 @).. 字体 串 语言 畏 助 功能 到 ) 


图 5-26 “Internet 选项 ”对 话 框 


(2) 单 击 “ 删 除 Cookies" 按 钮 ,将 计算 机 中 保持 的 Cookie 文件 删除 。 

(3) 单 击 “隐私 ?标签 ,在 如 图 5-27 所 示 的 对 话 框 中 拖 动 滑 杆 , 进 行 “阻止 所 有 Cookie” 
“高 " “中高”"“ 中 ”“ 低 ”“ 接 受 所 有 Cookie”6 个 级 别 的 设置 。 

(4) 单 击 下 方 的 “站 点 "按钮 ,出 现 如 图 5-28 所 示 的 “每 站 点 的 隐私 操作 ”对 话 框 ,在 “网 
站 地 址 ”中 输入 特定 的 网 址 ,将 其 设 定 为 允许 或 拒绝 使 用 Cookie。 


Internet 选项 


每 站 点 的 隐私 操作 


安全 隐私 [内容 [连接 [程序 | 高 级 | 


管理 站 点 


时 于 站 点 一 直 可 以 或 未 运 不 可 以 使 用 cookie ,而 不 考 
移动 滑 块 来 为 Internet 区 域 选 择 一 个 隐私 设置 。 Se TE: 
ES 鹤 确 输入 悠 要 管理 的 网 站 的 地 址 ， 然 后 单 击 “多 许 ” 或“ 拒绝” 。 
人 中 雪人 个 站点， 这 掺 网 的 各 各 ， 关 后 而 “出 
阴 目 没有 会 同 隐私 第 申 的 第 三 方 cookis : 
二 央 上 上 人 用 个 人 可 系 避 信息 而 有 交合 放 可 的 和 
和 


拒 的 邓 ) 


WE | [SAL ] [BEY 


删除 外 ) 


弹出 窗口 阻止 程 厅 全 部 删除 叫 ) 
阻止 显示 大 多 数 弹 出 窗口 。 


阻止 弹出 窗口 @B) 


Cj 


图 5-27 阻止 Cookie 设置 图 5-28 ”对 每 个 站 点 设置 是 否 运行 Cookie 
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【 例 5-4】 通过 注册 表 设 置 阻止 Cookie。 

(1) 单 击 “开始 ”| “运行 ?命令 ,出 现 如 图 5-29 
所 示 的 “运行 "对 话 框 。 

(2) 输入 regedit 命令 , 单 击 “ 确 定 ” 按 钮 ,出 现 
“注册 表 编 辑 器 ”窗口 ,如 图 5-30 所 示 。 

(3) 依次 展开 HKEY_LOCAL_MACHINE \ 
Software\ Microsoft\ Windows \ CurrentVersion\ 
Internet Settings\Cache\ Special Paths\ Cookies， 


Es) 


打开 外 ) 


A 件 来 、 0 Internet 资源 的 名 


&] 


图 5-29 “运行 ”对话 框 


右 击 Cookies 文件 夹 ,在 弹出 的 快捷 菜单 中 执行 “删除 ”命令 ,如 图 5-31 所 示 。 


查看 W) 收藏 严 内) 帮助 0 
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文件 到 ) 编辑 亿 ) 
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四国 MEEY_CURRENT_USER 
四 国 MEEY_LOCAL_IACHTNE 
四国 KEY_VSERS 
田 息 ) HKEY_CURRENT_CONFIG 


图 5-30 


编辑 下】 查看 收 语 夹 以) 帮助 0D 
齐名 称 


国 Nlowedbehaviors ”天 

园 NlonedlraeInageExts 国 避 轴 ) 
由 国 人 LlowedDragProtocols 国 cacheLinit 
BCachePrefix 


日 重 Cache 
BDirectory 


文件 到 ) 


四 国 Paths 
日 入 Special Paths 


‘| 
贸 fistal 
由 国 Last Update 
由 园 Lockiom_zol 
针 Passport 
| SafeSites 
Secure line 
由 全 50 
由 国 S0IEAK 
鲜 Subscriptiot 
全 Tenplatepoli 
入 Wl History 
因 久 | User Agent 


转 | 此 ba 


查找 外 


重 命 名 E) 


导出 台 ) 
权限 @) 


复制 项 名 称 世 ) 


四 


注册 表 编 辑 器 


类 型 
REG_SZ 
REG_BINARY 
REG_SZ 
REG_EXPAND 


Sz 


钼 值 未 设置 ) 

00 04 00 00 

Cookie 
WUSERPROPILEX\Cooki e 


我 的 电脑 \HEEY_LDCAL_NACHINE\SOFTWARE\Mi cr osoft\Nindows\Currentyersion\Internet Settings\Cache\S. 


5-31 


删除 Cookie 
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需要 提醒 的 是 ,如 果 拒 绝 接受 Cookie, 可 能 无 法 使 用 依赖 于 Cookie 的 网 站 的 部 分 功能 ， 
如 有 些 论坛 要 求 打 开 Cookie 功能 ,如 果 不 打开 则 不 能 正常 访问 。 

微软 在 2012 年 8 月 曾 宣布 ,IE10 浏览 器 将 默认 开启 防止 跟踪 功能 。 至 此 ,浏览 器 的 反 
跟踪 功能 已 经 成 为 行业 安全 的 新 标 配 。 截 至 2012 年 底 , 包 括 360 安全 浏览 器 .火狐 浏览 器 
和 Safari 浏览 器 在 内 的 国内 外 多 款 主流 浏览 器 均 已 发 布 了 自己 的 反 跟 踪 功 能 ,如 图 5-32 
所 示 。 


Flash cookie 记 录 
加 ED ex 
© Bn nnn. arserae 二 

幅 站 要 味 日 志 
SB sss mmesw .sarase mits ED =" 


目 人 机 315 台 Coolie 间 间 直 360 安全 济 藉 全 王 括 和 闻 培 信和 。 重大 情 > 


图 5-32 浏览 器 的 反 跟 踪 功 能 


5.2.3 浏览 器 安全 


浏览 器 已 经 成 为 互联 网 病毒 ,木马 传播 的 最 大 门户 .浏览 器 的 安全 已 经 成 为 无 法 忽视 的 
问题 。 一 款 好 的 浏览 器 应 该 具有 动态 识别 恶意 代码 .实时 拦截 等 功能 ,如 表 5-1 所 示 。 
表 5-1 浏览 器 防护 功能 一 览 表 
防护 功能 功能 简介 

“ 挂 马 ” 拦 截 。 ”结合 木马 网 址 库 、 恶 意 脚 本 检测 等 防 挂 马 技 术 , 阻 止 木马 病毒 通过 网 站 入 侵 电 脑 

“钓鱼 ”拦截 。 ” 比 对 恶意 网 址 库 , 对 假冒 网 银 、 网 购 等 钓鱼 网 站 进行 风险 预警 ; 在 网 购 时 提高 防护 级 
别 ,拦截 劫持 浏览 器 的 钓鱼 盗号 型 木马 ,增强 安全 人 性 

下 载 安全 扫描 文件 下 载 前 自动 识别 恶意 下 载 链接 ,下 载 后 对 文件 进行 病毒 扫描 ,保证 下 载 文件 的 安 
全 性 

云 存储 安全 ”通过 云 存储 打通 多 平台 的 情况 下 ,能 够 拦截 云 盘 中 的 恶意 文件 

沙 箱 隔离 建立 虚拟 环境 隔离 病毒 ,木马 ,使 其 不 会 影响 用 户 的 真实 电脑 

黑 扩展 拦截 ”将 危险 插件 和 浏览 器 进程 剥离 ,并 放 和 人 沙 箱 中 隔离 ,避免 浏览 器 插件 漏洞 被 利用 ,同时 ， 
能 够 拦截 恶意 黑 扩展 

隐私 保护 不 记录 用 户 上 网 历史 和 Cookies, 防 止 用 户 被 第 三 方 网 站 跟踪 ,保护 用 户 隐私 安全 

网 站 身份 认证 ”建立 统一 的 网 站 身份 认证 机 制 ,辅助 用 户 识别 网 站 真实 身份 ,降低 被 欺诈 的 风险 

主页 防臭 改 。 ”保护 浏览 器 主页 ,阻止 恶意 程序 自 改 主页 地 址 

广告 过 滤 在 用 户 开启 广告 过 滤 的 情况 下 ,屏蔽 各 类 病毒 欺诈 型 
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图 5-33 是 由 国内 知名 第 三 方 数据 统计 分 析 服 务 提供 商 CNZZ 公布 的 中 国境 内 2013 年 
11 月 浏览 器 使 用 率 排行 榜 ,虽然 IE 浏览 器 仍然 占据 了 第 一 位 ,但 是 360、 搜 狗 、Chrome、 
Safari 等 浏览 器 的 安全 功能 比较 好 ,是 实现 安全 浏览 较 好 的 选择 。 
浏览 器 11 月 份 使 用 率 搜狗 高 速 浏览 器 ,6.07% 


Chrome .6.27% 


Safari ,6.41% 
360 旗 下 
26.09 


腾讯 旗下 浏览 器 ,3.01% 


傲游 ,2.03% 

Internet Explorer, 猎豹 浏览 器 ,1.28% 
火狐 ,1.30% 

其 他 浏览 器 ,1.17% 


CNZZ UC 浏览 器 ,1.36% 


Se 2345 浏 览 器 ,1.24% 


图 5-33 2013 年 11 月 浏览 器 市 场 份额 排行 榜 


要 实现 安全 浏览 ,首先 要 对 浏览 器 进行 检测 。 

【 例 5-5】 浏览 器 安全 检测 。 

(1) 打开 www. pcflank. com 网 站 ,可 以 对 浏览 器 .端口 .木马 ,信息 泄露 等 项 目 进行 检 
测 ,如 图 5-34 所 示 。 
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图 5-34 网 站 首页 


(2) 单 击 左 侧 7 种 安全 检测 方式 中 的 Quick test 选项 ,对 电脑 进行 全 面 检查 ,如 图 5-35 
所 示 ; 也 可 单 击 Browser test 选项 , 仅 对 浏览 器 进行 检测 。 
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图 5-35 ”Quick test 检测 
(3) 单 击 下 方 的 Start Test 按钮 进行 检测 ,检测 完成 后 显示 检测 报告 ,如 图 5-36 所 示 。 
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(4) 单 击 下 方 的 Full Report 按钮 ,详细 显示 存在 的 问题 及 建议 ,如 图 5-37 所 示 。 


m Browser privacy check 


The test checked if your web browser reveals any private information while you visit Web sites. Usually such 
information is: the last site visited, your locale and who your Interet Service Provider is. 


Danger! 

(®) While visilting web sites your browser reveals private information about you and your computer It sends 
information about previous sites you have visited. It may also save special cookies on your hard drive that 
have the purpose of directing advertising or finding out your habits while web suring. 


Recommendation: 
We advise you to get personal firewall software. If you already have a firewall program adjust tto block the 
distribution of such information. 


图 5-37 ”详细 报告 及 建议 
5.2.4 路 由 器 安全 


随 着 浏览 器 安全 性 的 不 断 提高 ,黑客 开始 从 相对 薄弱 的 路 由 器 入 手 , 通 过 跨 站 请 求 伪造 
(Cross-Site Request Forgery,CSRF) 攻 击 算 改 路 由 器 的 默认 DNS 设置 ,从 而 实现 劫持 网 
站 ,插入 广告 ,诱导 用 户 进入 钓鱼 网 站 以 及 屏蔽 安全 软件 的 升级 、 云 安全 查询 等 目的 。 

2013 年 5 月 以 来 ,针对 家 用 路 由 器 的 CSRF 攻击 开始 流行 。 这 种 新 型 攻击 不 仅 可 能 将 
用 户 诱导 至 钓鱼 欺诈 网 站 ,同时 还 有 可 能 导致 安全 软件 或 安全 浏览 器 的 各 种 云 安全 服务 功 
能 失效 。 据 统计 ,全 国平 均 有 约 5% 的 路 由 器 已 经 遭 到 了 恶意 算 改 。 

CSREF 的 攻击 过 程 与 挂 马 攻击 类 似 。 用 户 只 要 打开 经 过 黑客 精心 设计 的 网 站 , 当 网 站 
上 的 部 分 内 容 通 过 路 由 器 进行 传输 时 ,其 中 隐藏 的 代码 就 会 尝试 自动 登录 路 由 器 ,一 旦 登录 
成 功 ,就 会 立即 算 改 路 由 器 设置 ,修改 DNS、DHCP 等 基本 设置 。 由 于 攻击 过 程 并 不 是 发 生 
在 电脑 上 的 ,因此 攻击 过 程 很 难 被 安装 在 电脑 上 的 安全 软件 发 现 。 对 于 不 知情 的 用 户 来 说 ， 
实际 上 只 是 打开 了 一 个 网 页 ,路 由 器 就 被 黑 掉 了 。 

路 由 器 是 终端 上 网 设备 一 一 特别 是 无 线 上 网 设备 接 入 互联 网 的 重要 入 口 ,一 旦 路 由 器 
遭 到 入 侵 或 破坏 , 则 连接 在 该 路 由 器 上 的 所 有 设备 都 将 面临 直接 的 安全 威胁 。 如 果 路 由 器 
被 黑客 远程 控制 或 动 持 , 则 连接 其 上 的 上 网 设备 .不论 是 PC、Pad、 手 机 ,还 是 智能 电视 盒子 
等 ,都 有 可 能 被 黑客 监听 或 劫持 ,进而 造成 账号 密码 ,浏览 记录 等 隐私 信息 的 泄漏 。 

通常 情况 下 ,路 由 器 的 安全 隐患 主要 存在 于 三 个 方面 : 一 是 路 由 器 自身 存在 安全 漏洞 ， 
容易 被 黑客 利用 ; 二 是 路 由 器 的 Wi-Fi 网 络 缺乏 有 效 的 管理 ,容易 遭 到 入 侵 和 攻击 ; 三 是 用 
户 对 路 由 器 设置 不 当 , 从 而 导致 了 不 必要 的 安全 隐患 。 

1. 固件 与 漏洞 

路 由 器 的 固件 是 安装 在 路 由 器 硬件 上 的 一 套 软 件 系 统 ,相当 于 路 由 器 的 操作 系统 。 路 
由 器 的 固件 也 可 能 存在 安全 漏洞 ,为 了 给 漏洞 打上 补丁 ,大 部 分 的 路 由 器 厂商 也 会 像 微软 公 
司 发 布 Windows 安全 公告 .补丁 一 样 ,在 其 官网 上 发 布 路 由 器 固件 的 升级 版 本 。 

然而 ,由 于 大 部 分 用 户 在 购买 家 用 路 由 器 后 ,并 没有 定期 升级 路 由 器 固件 版 本 的 习惯 。 
而 路 由 器 厂商 通常 也 无 法 像 微 软 公司 那样 ,主动 向 用 户 推送 固件 升级 包 。 另 外 ,虽然 国内 很 
多 安全 软件 可 以 给 Windows 系统 打 补 丁 , 但 却 很 少 有 安全 软件 能 够 给 路 由 器 打 补 丁 。 这 就 
导致 路 由 器 的 安全 漏洞 被 曝光 后 ,往往 无 法 得 到 及 时 的 修复 。 许 多 用 户 的 路 由 器 上 甚至 会 
存在 多 个 已 知 的 安全 漏洞 ,这 就 给 路 由 的 使 用 带 来 了 严重 的 安全 隐患 。 

最 常见 的 路 由 器 安全 漏洞 是 CSRF 漏洞 。 
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2. CSRF 攻击 


所 谓 CSRF 攻击 ,是 指 当 用 户 访问 经 过 特殊 构造 的 恶意 网 站 A 时 ,恶意 网 站 会 通过 浏 
览 器 发 送 访 问 路 由 器 管理 页 面 B 的 请 求 。 如 果 路 由 器 不 能 识别 并 阻止 这 种 异常 的 访问 请 
求 , 即 路 由 器 存在 CSRF 漏洞 时 ,那么 恶意 网 站 A 就 有 可 能 通过 CSRF 攻击 登录 到 路 由 器 
的 管理 页 面 B, 并 进而 算 改 路 由 器 的 基本 设置 。 

在 可 识别 型 号 /固件 版 本 的 4014 万 台 路 由 器 中 , 约 90.2% 的 路 由 器 存在 CSRF 漏洞 。 
国内 主流 路 由 器 的 固件 存在 CSRF 漏洞 的 情况 如 图 5-38 所 示 。 绝 大 部 分 曝 出 CSRF 漏洞 
的 路 由 器 型 号 ,路 由 器 厂商 都 已 经 有 针对 性 地 推出 了 相应 的 固件 版 本 升级 ,而 至 今 仍 有 大 部 
分 的 路 由 器 存在 漏洞 ,主要 是 因为 用 户 并 没有 对 其 进行 修复 和 升级 。 


国内 主流 路 由 器 品牌 存在 CSRF 漏 洞 比 例 


96.6% 96.5% 94.8% 93.8% 


62.1% 
a 43.9% 


Mercury FAST Tenda TP-LINK D-link 


该 比例 的 计算 方式: 路 由 器 洞 洞 比 例 = 村 后 咎 全 数 二 


图 5-38 ”主流 路 由 器 CSRF 漏洞 比例 

3。 Wi-Fi 密码 

黑客 之 所 以 能 够 成 功 攻击 路 由 器 ,主要 是 由 两 方面 的 原因 造成 的 : 一 个 是 路 由 器 本 身 
存在 安全 漏洞 , 另 一 个 是 用 户 没有 正确 和 安全 地 使 用 路 由 器 。 

传统 的 Wi-Fi 接 人 管理 几乎 完全 依赖 Wi-Fi 密码 。 通 常 , 接 入 者 只 要 知道 Wi-Fi 密码 ， 
就 可 以 接 入 路 由 器 网 络 , 并 获得 与 其 他 接 入 路 由 器 的 设备 相同 的 上 网 权限 和 路 由 器 访问 权 
限 。 目前, 市场 上 的 绝 大 多 数 家 用 路 由 器 采用 的 都 是 这 种 传统 的 Wi-Fi 管理 方案 。 这 种 传 
统 的 管理 方式 存在 4 个 明显 的 缺 欠 。 

(1) 路 由 器 的 所 有 者 不 能 阻止 他 人 对 Wi-Fi 密码 的 破解 ,也 不 能 阻止 持 有 Wi-Fi 密码 
的 陌生 设备 偷偷 接 入 路 由 器 。 

(2) 攻击 者 一 旦 通过 Wi-Fi 接 人 了 路 由 器 ,由 于 没有 隔离 保护 措施 ,攻击 者 就 可 以 直接 
对 连接 在 路 由 器 上 的 所 有 设备 发 动 攻击 ,也 包括 ARP 攻击 。 

(3) 如 果 将 路 由 器 设置 成 只 允许 指定 设备 进行 连接 ,那么 当家 中 有 客人 需要 上 网 ,或 者 
自己 有 新 的 设备 需要 上 网 时 ,设置 起 来 就 比较 麻烦 。 

(4) 有 些 用 户 设 置 的 Wi-Fi 密码 在 其 他 账户 (如 QQ 、 微 博 等 ) 中 可 能 也 会 使 用 ,因此 攻 
击 者 获取 了 Wi-Fi 密码 或 者 主人 将 Wi-Fi 密码 告诉 了 访客 ,就 有 可 能 造成 用 户 其 他 账户 信 
息 的 泄漏 。 

所 以 ,在 传统 的 Wi-Fi 接 入 管理 方式 中 ,如 果 不 能 保证 Wi-Fi 密码 可 靠 性 , 则 路 由 器 设 
备 , 甚 至 是 用 户 的 其 他 账户 信息 都 就 将 面临 严重 的 安全 威胁 。 
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常见 的 Wi-Fi 加 密 方 式 有 三 种 : WEP、WPA 以 及 WPA2 PSK。WEP 加 密 方 式 是 一 种 
较 早 的 加 密 方式 ,这 种 加 密 方式 虽然 能 在 一 定 程度 上 能 防止 罕 探 者 进入 无 线 网 络 ,但 其 密码 
可 以 通过 算法 计算 得 出 ,基本 百 发 百 中 ,极其 不 安全 。 所 以 目前 一 般 默认 选用 的 加 密 方式 为 
WPA/WPA2 PSK ,这 两 种 方式 相 较 于 WEP 都 采用 了 更 安全 的 加 密 技术 。 

不 过 ,即便 是 使 用 了 WPA/WPA2 PSK 加 密 方 式 , 如 果 Wi-Fi 密码 本 身 的 强度 不 够 , 仍 
然 很 容易 被 破解 和 入 侵 。 

4. 管理 员 账 号 密码 

家 用 路 由 器 有 两 个 基本 的 安全 密码 ,一 个 是 Wi-Fi 密码 ,一 个 是 管理 员 账 号 密码 。 

Wi-Fi 密码 用 于 无 线 接 入 认证 ,而 管理 员 账 号 密码 则 是 用 来 登录 路 由 器 并 进行 路 由 器 
上 网 账户 (如 ADSL 账户 )、Wi-Fi 密码 .DNS 等 各 项 设置 的 。 

管理 员 账 号 拥有 路 由 器 的 最 高 管理 权限 ,一 旦 密码 被 泄漏 或 破解 ,攻击 者 就 可 以 随意 对 
路 由 器 各 项 设置 进行 算 改 ,劫持 用 户 访问 钓鱼 网 站 ,并 能 够 通过 上 网 数据 抓 包 窃取 到 用 户 账 
号 密码 .QQ 聊天 记录 、 网 购 交 易 流 程 、 网 银 账号 密码 等 敏感 信息 。 

据 统 计 ,99.2% 的 家 用 无 线路 由 器 用 户 给 自己 的 路 由 器 设置 了 Wi-Fi 密码 ,没有 设置 任 
何 Wi-Fi 密码 的 比例 仅 为 0.8%; 但 同时 ,全 国 98.6% 的 家 用 无 线路 由 器 存在 管理 员 账 号 
弱 密 码 风险 (使 用 系统 默认 密码 或 弱 口 令 ) ,而 主动 修改 管理 员 账 号 密码 或 设置 较为 安全 的 
密码 的 用 户 仅 为 1. 4% 。 

从 上 面 数据 可 以 看 出 , 绝 大 多 数 用 户 具 有 防 足 网 意识 ,因此 都 会 给 自己 家 中 的 路 由 器 设 
置 Wi-Fi 密码 。 但 是 ,如 果 不 设置 管理 员 账 号 和 密码 ,就 很 容易 被 黑客 远程 登录 并 入 侵 路 由 
器 。 实 际 上 , 绝 大 多 数 CSRF 攻击 都 是 结合 利用 路 由 器 漏洞 和 管理 员 账 号 的 弱 密 码 风 险 实 
施 的 攻击 。 如 果 用 户 修改 了 管理 员 账 号 和 密码 ,那么 CSRF 攻击 的 成 功率 就 会 大 大 降低 。 

5. DNS 动 持 

DNS 支持 是 攻击 者 攻击 路 由 器 的 主要 目的 。 统 计 显示 : 遭 到 DNS 劫持 的 路 由 器 占 路 
由 器 总 量 的 0.75%。 以 全 国共 有 近 一 亿 台 家 用 路 由 器 计算 ,国内 遭 到 DNS 劫持 的 家 用 路 
由 器 数量 约 为 75 万 台 。 

在 DNS 设置 被 筑 改 的 用 户 中 : 70% 以 上 指向 了 境外 恶意 DNS 服务 器 ,其 中 韩国 
(52.0%) 最 多 ,美国 (11.1%) 和 日 本 (10.0%) 次 之 ; 而 广东 湛江 (4.9%) ,浙江 绍兴 (4. 2%) 
和 安徽 铜陵 (4.0%) 则 是 恶意 DNS 服务 器 在 内 地 的 三 大 源头 。 

从 算 改 DNS 设置 的 目的 来 看 : 49. 5% 的 算 改 是 为 了 向 用 户 推 送 色 情 网 页 和 游戏 广告 ; 
28.0% 的 算 改 是 为 了 将 淘宝 等 电 商 网 站 支持 到 付费 推广 页 面 ,从 而 骗取 推广 佣金 。 还 有 
22.5% 的 其 他 各 类 支持 ,如 将 正规 网 站 的 访问 请 求 支持 到 钓鱼 网 站 或 挂 马 网 站 等 。 除 此 之 
外 ,很 多 DNS 自 改 还 会 封 堵 安 全 软件 的 云 查询 服务 和 软件 升级 ,从 而 将 用 户 电脑 置 于 无 法 
获得 联网 安全 服务 的 极其 危险 的 状态 。 
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据 CNNIC 数据 显示 ,截至 2014 年 6 月 ,我 国 网 络 购物 用 户 规模 达到 3. 32 亿 , 较 2013 
年 年 底 增 加 了 2962 万 人 ,半年 度 增长 率 为 9.8%, 为 全 球 各 国 网 购 人 群 规模 之 最 。 与 此 同 
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时 ,网 购 交 易 中 的 欺诈 犯罪 也 在 急剧 上 升 。 

从 诈骗 手法 来 看 : 融合 钓鱼 、 木 马 、 电 信 诈 骗 等 多 种 欺诈 手段 的 ,复杂 的 诈骗 模式 渐 成 
主流 ,从 涉案 金额 和 报案 数量 上 看 ,这 两 项 数字 一 直 保 持 稳步 上 升 ; 从 网 络 欺 诈 的 具体 形式 
上 看 ,网 络 兼职 ,网 络 游戏 . 退 款 欺 诈 .虚假 购物 、. 消 保 欺 诈 . 网 上 博彩 、 视 频 交 友 、 投 资 理 财 、 
虚假 团购 .虚假 票务 .批发 欺诈 、 网 购 木马 ,虚假 中 奖 .话费 充值 最 为 常见 , 见 表 5-2。 


表 5-2 2014 年 上 半年 典型 网 络 欺诈 数据 统计 


报案 数量 统计 报案 金额 统计 
欺诈 类 型 人 均 损失 金额 /元 
报案 数量 占 比 报案 金额 /元 占 比 

网 络 兼职 5904 46.1% 9 474 463 37.2% 1605 
退 款 欺诈 1479 11.6% 5 561 302 21.9% 3760 
网 络 游戏 1333 10.4% 1 686 641 6.63% 1265 
虚假 购物 1276 9.97% 2 135 791 8.39% 1674 
消 保 欺 诈 508 3.97% 901 537 3.54% 1775 
网 上 博彩 404 3.16% 1 383 454 5.44% 3424 
视频 交友 238 1.86% 348 138 1.37% 1463 
投资 理财 223 1.74% 2 125 933 8.35% 9533 
虚假 团购 171 1.34% 61 042 0.24% 357 
虚假 票务 120 0.94% 215 989 0.85% 1800 
批发 欺诈 86 0.67% 123 347 0.48% 1434 
网 购 木 马 51 0.40% 168 522 0.66% 3304 
虚假 中 奖 50 0.39% 142 392 0.56% 2848 
话费 充值 27 0.21% 4475 0.02% 166 
虚假 药品 9 0.07% 4611 0.02% 512 
其 他 类 型 922 7.20% 1113 556 4.38% 1208 

总 计 12 801 100% 25 451 193 100% 1988 


与 2013 年 全 年 数据 相 比 ,网 络 兼职 (46. 1%) 与 退 款 欺诈 (11.6%) 的 报案 数量 增长 最 为 
明显 ,比例 分 别 增长 了 9.8% 和 5.3%。 而 虚假 购物 的 比例 则 大 幅度 下 降 一 一 由 2013 年 的 
23.2% 下 降 至 9.97% ,下 降 了 13. 2 个 百分点 。 

特别 需要 说 明 是 , 退 款 欺诈 在 2014 年 上 半年 集中 爆发 ,这 种 情况 之 前 是 没有 的 。 退 款 
欺诈 的 重要 前 提 是 骗子 必须 准确 地 掌握 消费 者 的 消费 信息 。 而 此 类 诈骗 在 2014 年 上 半年 
的 大 规模 爆发 ,应 该 不 是 个 别 店主 的 个 人 行为 ,而 很 有 可 能 是 用 户 的 消费 信息 遭 到 大 规模 
泄漏 。 

2014 年 上 半年 ,网 络 兼 职 是 受害 者 人 数 最 多 的 网 络 欺诈 类 型 ,而 投资 理财 则 是 人 均 损 
失 最 大 的 网 络 欺诈 类 型 ,如 图 5-39 所 示 。 

按照 投资 理财 类 欺诈 的 类 型 划分 ,P2P 网 贷 是 2014 年 上 半年 投资 理财 类 网 络 诈骗 中 
报案 数量 最 多 的 一 个 类 型 , 占 比 为 61. 6%; 其 次 为 天 天 分 红 和 贵金属 交易 类 , 占 比 分 别 
为 27.5% 和 9.4%。 
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投资 理财 。” 退 款 欺 诈 。 网 上 博彩 ”网 购 木 马 。 ”虚假 中 奖 
图 5-39 人 均 损失 最 多 的 网 络 欺 诈 


5.3.1 网 络 兼 职 欺 诈 


网 络 兼职 欺诈 是 报案 数量 最 多 的 一 类 网 络 欺诈 案例 ,兼职 刷 钻 欺诈 .兼职 钓鱼 欺诈 和 兼 
职 保证 金 欺诈 是 三 种 最 主要 的 欺诈 类 型 。 受 害 者 80% 以 上 是 在 校 大 学 生 , 被 骗 金额 少 则 几 
百 , 多 则 上 万 。 

网 上 兼职 欺诈 大 多 以 简单 的 任务 ,高 额 的 薪水 来 诱惑 受害 者 应 聘 兼 职 ,随后 用 人 工 欺诈 
与 钓鱼 网 站 相 结合 等 方式 实施 欺诈 。 为 取得 信任 ,骗子 往往 都 会 编造 出 神秘 灰色 的 身份 ， 
例如 "淘宝 刷 钻 平台 ”“ 联 通 内 部 员工 等 。 有 的 骗子 不 仅 会 制作 精致 的 兼职 说 明 ,而 且 还 会 
“好 心 ” 地 提醒 受害 者 要 当心 上 当 , 甚 至 会 介绍 各 种 防范 兼职 欺诈 的 方法 ,如 “需要 保证 金 的 
都 是 驴子”“ 一 定 要 在 收 到 返 款 之 后 青 确认 收 货 ” 等 。 但 在 实际 特定 的 欺诈 场景 中 ,这 些 “ 好 
心 ” 的 提醒 都 没有 什么 意义 ,只 是 为 了 让 受害 者 放松 警惕 而 已 。 

案例 1 淘宝 刷 钻 。 

小 李 考 上 大 学 后 一 直 想 找 个 兼职 ,一 日 他 在 某 QQ 群 中 看 到 有 人 发 布 “高 薪 兼 职 ,日 赚 
300” 的 信息 , 遂 与 对 方 联系 。 对 方 自称 是 做 “淘宝 剧 钻 平台 ”的 ,小 李 只 需要 去 指定 的 淘宝 店 
铺 购买 充值 卡 ,对 方 会 把 货款 退还 给 小 李 ,确认 好 评 后 ,小 李 将 得 到 一 定 比例 的 佣金 。 购 买 
次 数 越 多 ,佣金 返还 比例 也 越 高 。 

小 李 按 照 对 方 要 求购 买 了 充值 卡 后 要 求 对 方 返 款 , 但 对 方 要求 小 李 将 充值 卡 的 卡号 和 
密码 截图 发 送 过 来 以 验证 小 李 确 实 购买 了 充值 卡 。 小 李 未 加 思量 便 将 充值 卡 的 卡号 和 密码 
截图 发 送 给 了 对 方 , 但 对 方 以 小 李 的 操作 尚未 满足 返 款 条 件 为 由 ,拒绝 返 款 给 小 李 , 并 一 再 
要 求 小 李 继 续 刷 钻 ,以 满足 返 款 条 件 。 小 李 感 觉 自己 可 能 被 骗 , 想 立 即使 用 充值 卡 以 挽回 损 
失 , 但 拨打 充值 电话 后 被 告知 ,充值 卡 已 经 失效 。 

案例 中 ,骗子 与 淘宝 卖家 实际 上 没有 任何 关系 ,受害 人 小 李 在 淘宝 店铺 中 购买 充值 卡 的 
过 程 是 完全 符合 正规 的 购物 流程 的 ,所 以 淘宝 店家 没有 任何 法 律 责 任 。 只 不 过 ,小 李 为 了 让 
对 方 确认 自己 购买 了 商品 ,将 卡号 和 密码 截图 发 送 给 了 对 方 。 对 方 立即 进行 充值 ,从 而 完成 
了 欺诈 。 由 于 小 李 及 时 发 现 问题 并 停止 了 交易 ,所 以 损失 不 是 很 大 。 这 种 看 似 简单 的 骗术 ， 
其 实 很 不 简单 ,也 是 受骗 者 较 多 的 网 络 欺诈 类 型 。 

案例 2 ”联通 网 络 兼职 . 

小 王 是 大 三 学 生 ,一 日 在 浏览 博客 时 无 意 中 看 到 一 篇 名 为 “中 国联 通 招聘 网 络 兼职 ”的 
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博客 。 博 客 称 联通 为 扩大 业务 量 和 知名 度 招聘 “ 刷 业 绩 兼 职 ”, 回 报 率 很 高 ,并 且 醒 目 提示 
“不 需要 任何 保证 金 "、“ 需 要 保证 金 的 都 是 骗子 ”。 

小 王 觉 得 博客 内 容 规 范 ,提示 贴心 ,比较 可 信 , 遂 通过 博客 上 的 QQ 进行 联系 。 对 方 自 
称 为 联通 内 部 员工 ,为 提升 业绩 招聘 * 刷 业绩 兼职 ,只 需 去 官方 网 站 上 购买 联通 充值 卡 ,3 
张 算 一 次 任务 ,任务 完成 后 会 把 货款 退回 给 小 王 , 每 次 任务 可 得 15 元 佣金 。 对 方 还 特别 提 
醒 小 王 不 用 担心 被 骗 ,因为 就 算 不 退还 货款 小 王 手 里 还 有 充值 卡 , 也 不 会 损失 。 

小 王 觉得 对 方 说 的 有 道理 ,于 是 就 在 对 方 发 来 的 充值 卡 链接 上 花 300 元 购买 了 3 张 充 
值 卡 ,然后 联系 对 方 要 求 回 退货 款 。 但 对 方 却 表示 ,系统 可 能 “ 卡 单 * 了 ,只 看 到 一 张 充值 卡 
的 交易 记录 ,小 王 必 须 再 购买 三 张 才 可 以 激活 之 前 的 订单 。 小 王 感觉 不 妙 ,立刻 打 电 话 充 
值 ,但 系统 提示 卡号 密码 错误 ,充值 卡 都 是 假冒 的 。 

案例 中 ,受害 人 小 王 实际 上 是 在 骗子 的 诱骗 下 登录 了 钓鱼 网 站 ,而 在 钓鱼 网 站 上 购买 充 
值 卡 ,实际 上 就 是 将 钱 直 接 转 人 了 骗子 的 账户 中 。 如 果 小 王 按照 骗子 的 提示 ,继续 购 卡 “ 激 
活 订单 ”的 话 ,结果 只 会 是 继续 被 骗 。 

案例 3 网络 文字 录入 。 

小 赵 在 一 个 QQ 群 中 看 到 有 人 发 布 “ 高 薪 急 聘 兼职 文字 录入 ,薪水 日 结 ” 的 消息 , 遂 立 刻 
与 对 方 联系 。 联 系 后 对 方 称 是 某 出 版 社 的 ,招聘 兼职 为 即将 出 版 的 新 书 进行 录入 ,每 1 万 字 
300 元 ,薪水 日 结 。 

小 赵 十 分 兴奋 ,立刻 要 求 开 始 工作 。 对 方 随即 发 来 “兼职 录入 员 资 料 登 记 表 ”等 文件 ,让 
小 赵 填写 了 个 人 资料 ,包括 身份 证 号 码 联系 电话 和 银行 账户 等 信息 ,看 起 来 很 规范 。 小 赵 
随后 索要 任务 ,对 方 表示 ,由 于 是 未 出 版 的 新 书 ,所 以 要 签署 “保密 协议 ”并 交纳 1000 元 保证 
金 。 小 赵 赚 钱 心切 ,看 着 对 方 发 来 的 盖 过 章 的 “保密 协议 ”, 没 有 多 想 就 给 对 方 打 了 款 。 但 打 
款 后 ,对 方 QQ 便 下 线 了 ,就 此 消失 。 小 王 这 才 发 觉 是 被 骗 了 。 

该 案例 是 一 种 比较 传统 的 网 络 欺 诈 手法 ,主要 是 通过 丰厚 的 回报 ,诱骗 受害 人 缴纳 保证 
金 或 抵押 金 。 而 且 在 这 起 案例 中 ,受害 人 小 赵 还 按照 骗子 的 要 求 ,填写 了 "兼职 录入 员 资 料 
登记 表 ”, 其 中 包含 身份 证 号 .联系 电话 和 银行 账号 等 敏感 信息 ,这 也 可 能 会 给 小 赵 带 来 更 多 
的 安全 风险 。 

图 5-40 是 兼职 欺诈 的 一 般 过 程 示意 图 。 
诱骗 应 聘 者 购买 
虚拟 商品 后 索要 
骗子 四 处 发 | 应 聘 者 看 到 诱骗 应 聘 者 去 钓 
布 虚假 兼职 | 一 > | 虚假 信息 应 | 一 > | 鱼网 站 购买 商品 
信息 聘 兼职 实施 诈骗 


D> 


诱骗 应 聘 者 缴纳 
兼职 保证 金 


图 5-40 ”兼职 欺诈 过 程 示意 图 


防止 兼职 欺诈 的 要 点 如 下 。 
(1) 找 兼 职 要 上 正规 的 招聘 网 站 ,不 要 轻信 QQ 群 .博客 .论坛 上 看 到 的 招聘 信息 ; 
(2) 不 要 从 事 不 合法 的 兼职 工作 ,否则 不 仅 容易 上 当 受 骗 , 而 且 可 能 还 会 承担 法 律 责 


第 5 章 上 日常 上 网 的 安全 防范 325 


任 ; 实际 上 , 刷 点 、. 刷 钻 、 刷 积分 等 都 不 合法 ,相关 的 网 上 兼职 也 基本 上 都 是 欺诈 ; 

(3) 几乎 所 有 通过 截图 方式 证 明 交 易 成 功 的 要 求 都 有 很 强 的 欺诈 嫌疑 ,因为 ,真正 的 卖 
家 完全 可 以 通过 查看 交易 记录 来 证 实 交易 是 否 成 功 , 而 不 会 要 求 别人 发 截图 ; 

(4)“ 卡 单 ”“ 掉 单 ”" “付费 激活 订单 ”等 几乎 都 是 欺诈 专用 术语 , 见 到 此 类 词语 ,基本 可 
以 断定 对 方 是 骗子 。 


5.3.2 退 款 欺诈 


退 款 欺诈 自 出 现 起 就 成 为 了 骗子 们 钟爱 的 不 二 法 宝 。 现 如 今 ,该 类 骗局 手段 越 来 越 高 
超 ,网 页 越 来 越 逼 真 , 各 种 新 花样 频 出 ,让 受害 者 防不胜防 。 

此 类 钓鱼 欺诈 的 总 体 特点 是 : 骗子 通过 一 些 渠 道 获取 受害 者 的 网 购 信息 ,利用 受害 者 
付款 后 等 待 收 货 的 时 间 段 冒充 卖家 或 客服 ,通过 打 电 话 的 方式 联系 买 家 ,以 支付 系统 问题 等 
说 词 诱导 受害 者 进行 退 款 操 作 。 随 后 ,骗子 会 给 受害 者 发 去 链接 ,受害 者 打开 后 看 到 的 是 高 
仿 各 知名 电 商 的 钓鱼 网 页 。 钓 鱼网 页 会 诱导 受害 者 输入 支付 宝 账号 密码、 银行 卡号 、 身 份 
证 号 ,手机 验证 码 等 诸多 资料 , 盗 刷 用 户 支付 宝 和 银行 卡 。 

案例 1 “运费 险 十 退 款 ” 连 环 套 。 

上 海 的 刘 女 士 准备 买 一 台 相 机 , 找 了 许久 后 选 定 了 一 款 在 淘宝 看 上 的 二 手相 机 ,随后 按 
照 正常 的 交易 流程 拍 下 并 付款 。 刚 下 单 十 多 分 钟 卖家 就 主动 发 货 了 。 她 通过 QQ 询问 店家 
后 ,对 方 称 只 是 先 安排 走 物流 ,并 发 来 一 个 据 称 是 1 元 货运 保险 的 链接 ,要 她 补 拍 运 费 险 。 

看 卖家 这 么 爽快 , 刘 女 士 自 然 也 是 欣然 应 允 , 在 对 方 的 诱导 下 拍 下 了 1 元 订单 。 结 果 ， 
刚 拍 完 运费 险 ,她 发 现 之 前 买 相机 支付 的 订单 竟然 显示 “确认 收 货 * 了 ,2600 元 直接 到 了 卖 
家 账号 ,从 发 货 到 确认 收 货 仅 仅 经 历 了 9 分 钟 。 

刘 女 士 觉得 事情 蹊跷 , 遂 要 求 卖 家 退 款 ,并 通过 QQ 联系 到 退 款 客 服 。 客 服 发 来 退 款 客 
服 热线 并 称 : 为 了 避免 资金 冻结 ,需要 她 立即 按照 客服 提示 操作 退 款 。 等 刘 女士 拨 通 客服 
电话 后 ,对方 竟 让 她 拿 银行 卡 去 ATM 前 操作 退 款 , 刘 女士 很 警惕 ,因为 感觉 这 跟 最 近 流行 
的 电信 诈骗 极为 类 似 。 刘 女士 于 是 致电 支付 宝 官 方 客 服 后 确信 自己 被 骗 了 ,赶紧 报 了 警 。 

案例 2 系统 临时 维护 退 款 

2014 年 5 月 的 一 天 ,郑州 的 吉 先 生 在 京东 购买 了 一 个 移动 充电 器 后 不 久 , 就 接 到 一 个 
自称 是 京东 第 三 方 卖家 客服 的 电话 。 该 “客服 ”告诉 吉 先 生 , 因 为 京东 的 系统 临时 维护 升级 ， 
吉 先 生 的 订单 失效 ,需要 他 填写 退 款 协议 办 理 退 款 。 

不 明 真 相 的 吉 先 生 并 不 知道 京东 退 款 是 没有 这 一 流程 的 ,于 是 打开 了 对 方 通过 QQ 发 
来 的 退 款 链接 。 因 为 打开 的 页 面 跟 京东 一 模 一 样 , 看 起 来 非常 真实 ,以 至 于 他 被 骗 后 都 不 敢 
相信 那 是 钓鱼 网 站 。 

骗子 发 来 的 退 款 协 议 ,操作 过 程 跟 绑 定 快 捷 支 付 时 的 流程 差不多 ,这 也 使 得 吉 先 生 没有 
怀疑 。 按 照 提 示 , 吉 先生 依次 输入 了 自己 的 银行 卡号 、 密 码 、 身 份 证 号 、 预 留 手 机 号 及 短信 验 
证 码 等 信息 。 没 想到 , 刚 提 交 完 ,他 就 收 到 了 短信 ,显示 他 的 银行 卡 被 消费 了 3000 元 。 

防止 退 款 欺 诈 的 要 点 如 下 。 

(1) 凡是 要 求 使 用 QQ 沟通 的 淘宝 卖家 ,十 有 八 九 是 骗子 。 若 是 碰 到 卖家 主动 发 来 链 
接 , 要 求 补 拍 小 额 运费 险 .邮费 等 商品 时 ,一定 要 先 辨别 后 再 操作 , 切 勿 朴 忽 大 意 。 

(2) 一 旦 遇 到 需要 填写 账号 密码 、 身 份 证 号 码 等 资料 的 页 面 ,要 养 成 习惯 观察 一 下 网 页 
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上 方 的 网 址 ,确认 到 底 是 不 是 官方 网 站 。 
5.3.3 网络 购物 欺诈 


伴随 网 络 购物 的 流行 , 随 之 而 来 的 网 络 诈骗 也 花样 百出 ,网 络 购物 类 诈骗 案件 呈现 明显 
猛 增 态势 。 

目前 常见 的 网 络 购物 类 诈骗 犯罪 通常 有 以 下 4 种 。 

(1) 行 骗 人 建立 自己 的 电子 商务 网 站 ,或 是 通过 比较 知名 、 大 型 的 电子 商务 网 站 发 布 虚 
假 的 商品 销售 信息 ,以 所 谓 的 “ 超 低 价 ”“ 走 私 货 ”"“ 免 税 货 ”"“ 违 禁 品 ”等 名 义 出 售 产品 ,使 
一 些 人 因 低 价 诱惑 或 好 奇 而 上 当 ; 

(2) 行 骗 人 在 普通 网 站 上 设置 六 合 彩 赌博 网 站 或 淫秽 色情 网 站 链接 ,引诱 网 民 单 击 进 
入 ,骗取 注册 费 ; 

(3) 行 骗 人 发 布 中 奖 信息 ,使 一 些 爱 贪小 便宜 或 有 好 奇 心 的 网 民 上 当 ; 

(4) 行 骗 人 在 收 到 货款 后 , 寄 出 的 货物 价值 远 远 低 于 消费 者 所 购买 的 货物 ,有 的 其 至 只 
邮寄 一 个 空 盒 ,将 责任 推 给 物流 公司 或 邮局 。 

以 下 6 大 安全 防范 守则 ,可 以 有 效 预防 在 网 上 竞拍 及 购物 时 被 骗 ,识别 网 络 购 物 中 隐蔽 
的 陷阱 。 

(1) 对 所 购买 的 物品 有 所 了 解 ,包括 目前 市 场 的 价格 。 

“一 分 钱 , 一 分 货 *“ 便 宜 没 好 货 ”, 如 果 卖 家 所 出 价格 远 远 低 于 市 场 价格 ,而 且 交 货 期 限 
又 很 短 ,就 应 提高 警惕 ,不 要 贪小 便宜 、 被 超 低 价格 迷惑 。 

(2) 核实 网 络 卖家 留 下 的 信息 。 

如 果 卖 家 的 联系 方式 只 有 QQ 号 码 .电子 邮箱 .手机 号 码 , 而 没有 固定 地 址 和 对 应 的 固 
定 电话 时 ,不 要 轻易 交易 ; 仔细 甄别 网 络 卖家 留 下 的 电话 号 码 与 地 址 是 否 一 致 ,初步 判断 是 
和 否 为 诈骗 信息 ;， 利用 网 上 搜索 引擎 ,查询 供 货 信息 中 的 联系 电话 、 联 系 人 、 公 司 名 称 、 银 行 账 
号 等 关键 信息 是 否 一 致 。 

时 刻 铭记 : 搜索 第 一 页 的 结果 也 并 不 是 完全 可 信 的 。 因 为 搜索 已 经 成 为 钓鱼 网 站 最 主 
要 的 传播 方式 了 ,有 的 甚至 利用 竞价 排名 出 现在 搜索 结果 第 一 位 ,所 以 在 网 上 搜 东 西 一 定 要 
小 心 。 

(3) 尽量 去 大 型 .知名 、 有 信用 制度 和 安全 保障 的 购物 网 站 购买 所 需 的 物品 , 先 货 后 款 。 

目前 正规 大 型 购物 网 站 的 支付 形式 基本 采用 “第 三 方 监 管 货款 ”的 原则 , 买 家 将 钱 划 到 
网 络 交易 平台 提供 的 第 三 方 账户 , 买 家 收 到 货 后 向 第 三 方 确认 ,第 三 方 再 将 货款 转 给 卖家 。 

在 登录 网 银 或 使 用 网 银 支 付 时 ,网 址 的 前 缀 应 为 https, 否则 就 很 可 能 是 钓鱼 网 站 。 当 
收 到 “网银 账 户 冻结 、 升 级 之 类 的 电子 邮件 .电话 或 短信 通知 时 ,一 定 要 到 银行 当面 咨询 或 
拨打 银行 客服 电话 ,避免 直接 访问 此 类 信息 中 附带 的 网 址 。 

(4) 收 到 货物 后 当面 验 货 。 

收 到 货物 后 应 当 着 邮局 工作 人 员 或 是 快递 公司 的 人 立即 验 货 , 如 果 发 现货 物 有 问题 要 
迅速 与 卖方 联系 。 

(5) 谨慎 对 待 卖方 交付 定金 的 要 求 。 

在 网 络 购物 过 程 中 ,一 些 诈骗 分 子 要 求 消费 者 先 交 部 分 定金 , 货 到 后 再 付 全 款 , 当 消费 
者 汇 出 第 一 笔 款 后 , 行 骗 人 会 以 种 种 借口 (如 货 已 运 到 消费 者 所 在 城市 ,要 支付 风险 金 、 押 
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金 、 税 款 等 费用 ) ,要 求 消费 者 再 汇 余 款 , 否 则 不 交 货 也 不 退 款 ,一 些 受 害 人 迫 于 第 一 笔 款 已 
汇 出 ,只 好 抱 着 侥幸 心理 继续 汇款 ,而 行 骗 人 也 会 变换 借口 一 骗 再 骗 。 

(6) 使 用 单独 的 电脑 进行 交易 。 

尽量 不 要 使 用 公用 的 电脑 进行 购物 .支付 等 操作 ,更 不 要 轻易 地 将 自己 的 网 络 账号 、 信 
用 卡 账 号 和 密码 泄露 给 陌生 人 。 


5.3.4 网 络 投资 诈骗 


伴随 互联 网 金融 的 火热 ,网 络 上 的 各 类 理财 产品 成 了 网 民 投资 消费 的 新 热点 。 信 用 卡 
理财 、 外 汇 交易 .P2P 网 贷 .博彩 投资 等 各 类 新 型 投资 方式 相继 出 现 。 不 过 ,由 于 多 数 网 民 对 
这 些 新 的 理财 方式 并 不 熟悉 ,加 上 相关 监管 机 制 的 缺乏 ,很 多 犯罪 分 子 便 打 着 “互联 网 金融 ” 
或 者 是 “金融 创新 ”的 旗号 在 网 上 非法 集资 ,大肆 招 摇 撞 骗 。 近 年 来 曝光 的 巨额 理财 欺诈 案 
中 ,各 类 金融 投资 类 钓鱼 网 站 开始 成 为 欺诈 主流 ,以 * 天 天 返 利 ”"“ 高 额 回报 ”为 诱饵 的 投资 
理财 陷阱 也 层出不穷 。 

2013 年 第 二 季度 ,投资 理财 类 欺诈 的 人 均 损失 一 度 高 达 3. 1 万 元 ,单个 用 户 最 高 被 驴 
金额 一 度 高 达 30 万 元 。2013 年 第 三 季度 ,投资 理财 类 欺诈 的 人 均 损 失 高 达 4403 元 ,危害 
性 仅 次 于 赌博 博彩 类 欺诈 ,成 为 排名 第 二 位 的 高 风险 欺诈 类 型 。 截 至 2013 年 末 , 全 国 范围 
内 活跃 的 P2P 借贷 平台 已 超过 350 家 ,累计 交易 额 超过 600 亿 元 。 据 不 完全 统计 ,2014 年 
上 半年 以 来 ,已 有 超过 100 家 网 贷 平 台 跑 路 ,其 中 有 九 成 以 上 开业 运营 时 间 不 足 一 年 。 这 些 
跑 路 平台 大 多 都 是 以 高 收益 为 宣传 手段 ,但 平台 自身 的 项 目 和 风 控 却 并 不 是 很 可 靠 , 这 也 导 
致 许多 受害 人 被 骗 得 血本 无 归 却 又 投诉 无 门 , 很 难 追 回 损失 。 

综合 上 述 数据 来 看 ,虚假 金融 投资 类 网 站 逐年 递增 ,其 增长 速度 虽 不 如 虚假 购物 类 钓鱼 
的 增 势 迅猛 ,但 其 单个 网 站 的 访问 量 增 势 迅猛 , 且 可 能 带 来 的 欺诈 损失 尤为 严重 ,因此 其 恶 
劣 影 响 和 社会 危害 性 不 容 忽 视 。 

1. 网 络 投资 理财 诈骗 的 犯罪 手段 及 特点 

1) 实行 会 员 准 入 制 

此 类 虚假 理财 网 站 多 实行 注册 会 员 制 管理 , 想 要 投资 ,必须 在 其 网 站 上 按 要 求 注册 会 
员 。 通 常 为 鼓励 投资 者 注册 会 员 , 此 类 网 站 用 “注册 即 送 现金 ”等 奖励 方式 诱惑 投资 者 。 一 
般 注册 会 员 时 需要 输入 身份 证 号 等 信息 进行 实名 注册 ,还 要 提供 用 于 项 目 结算 的 网 银 账 号 
或 财 付 通 账号 ,如 图 5-41 所 示 。 

2) 投资 项 目 繁 多 ,无 实质 性 实业 投资 说 明 

投资 理财 骗局 多 提供 周期 不 同 .种 类 繁多 的 多 种 投资 项 目 , 包 括 * 日 投资 项 目 "“ 周 投资 
项 目 ” 和 “月 投资 项 目 ”。 一 般 投入 金额 越 多 ,分 红 周 期 越 长 ,不 法 分 子 宣称 的 分 红 金 额 越 高 。 
这 些 号 称 *100% 获 利 的 项 目 ” 几 乎 都 为 * 纯 资金 吸纳 ”, 无 实质 性 实业 投资 说 明 , 投 资 领域 及 
资金 支配 方向 、 企 业 收益 状况 等 详细 信息 一般 只 是 在 网 站 的 “投资 模式 栏目 中 笼统 提 到 资 
金 用 于 能 源 、 矿 产 等 相关 项 目 ,或 是 国家 基础 设施 建设 相关 的 高 价值 投资 产品 。 

最 重要 的 是 此 类 网 站 提供 的 项 目 返利 往往 超出 正常 的 银行 存 取款 利率 数 10 倍 , 且 投资 
门槛 极 低 ,根本 不 符合 正常 的 市 场 经 济 发 展 的 客观 规律 。 

3) 天 天 分 红 、 高 额 返利 

“分 红 式 ”网 络 投 资 诈骗 是 目前 最 常见 的 投资 理财 骗局 ,“ 保 本 收益 ”“200% 回 报 率 ”、 
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“天 天 分 红 ” 等 极 具 诱 惑 性 的 宣传 语 ,成 为 此 类 犯罪 分 子 吸引 投资 者 上 钩 的 主要 诱 乌 ,如 
图 5-42 所 示 。 


荣 正 投资 24 小 时 客服 热线 :4006-776-750 | 1 六 
ongzheng Investhent oy i 加 
肉 首 司 简介 。 新 闻 六 各 注册 会 员 - 


次 名 JE 芝 正 投资 ， 在 使 用 本 站 过 程 中 如 有 问题 或 络 | 


天 RE | 


Sp 会 员 注册 未 下限 : | 钨 给 我 国 计 

宙 到 : 注意 : 所 有 项 目 都 双 委 填写 正确 ,格式 不 对 或 者 入 填写 将 无 法 提交 注册 1! 条 正 训 也 :| 优 给 我 国 言 

2968 aaa: :| 
EN 内 向 字 峡 ， 下 刘 续 和 数字 想 岂 ,不 少 于 8) 服务 热线 ， 


NE 人 二) 4006-776-750 


和 ll 周二、 节 隐 日 均 和 窑 了 和! 
La 博 绩 入 身份 证 号码 ) 


NS: FS 


图 5-41 虚假 投资 理财 网 站 的 会 员 注册 页 面 


AL 


公司 介绍 。 ”公司 动态 。 加 入 项 目 “加 入 效益 。 ”政策 法 规 。 ”常见 问题 。 ”联系 我 们 。 ”开户 即 送 


当天 投资 ， 次 日 分 红 ! | 中 沪 深 与 您 共 创 美好 未 


中 沪 深 投资 ， 实 现 梦想 ， 理 财 改变 人 和 牛 。 


公司 介绍 
中 沪 深 投资 有 限 公司 成 立 于 2007 年 9 月 4 日 ， 公 “ 

公司 简介 司 注册 资 全 5000 万 元 , 公司 注册 号 :110000010470594， ”11 月 13 日 会 员 系统 自动 分 红 并 支付 : 

性 案 【详细 41 月 12 昌 会员 系统 自动 分 红 并 支付 


图 5-42 天 天 分 红 诱 惑 


抱 有 化 幸 心理 的 投资 者 ,一 旦 上 钧 将 钱 汇 入 对 方 账户 ,就 容易 被 不 法 分 子 率 住 鼻子 , 掉 
入 难以 回头 的 深渊 。 

此 类 投资 诈骗 的 最 大 特点 是 放 长 线 钓 大 鱼 , 以 投资 公司 为 载体 ,以 定期 分 红 为 诱饵 ,等 
网 民 投入 小 量 资金 后 ,前 期 定时 给 网 民 * 分 红 ”( 返 利 ) , 待 网 民 对 其 深信 不 疑 , 不 断 追 加 投入 
大 量 的 资金 或 者 介绍 亲戚 \, 朋 友 大 量 投入 资金 后 ,骗子 就 会 关闭 网 站 、 销 声 匿 迹 .“ 天 天 分 
红 "” 的 诱饵 之 所 以 屡试不爽 ,主要 是 不 法 分 子 利 用 了 部 分 网 民 的 贪财 心理 ,手中 有 余 钱 、 缺 乏 
理财 知识 ,又 相信 “天 上 掉 馅 饼 ” 的 网 民 极 容易 上 当 受 骗 。 

4) 传销 拉 人 头 式 奖励 机 制 

在 投资 理财 诈骗 案例 中 ,多 数 骗局 具有 明显 的 传销 性 质 , 不 法 分 子 以 投资 者 直接 或 者 间 
接 发 展 下 线 人 员 数 量 作 为 计算 依据 ,通过 各 类 返点 奖励 机 制 , 诱 导 受 害 人 推荐 新 的 会 员 加 入 
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投资 项 目 , 继 而 利用 受害 人 的 人 际 关系 网 ,以 “传销 拉 人 头 ” 方 式 吸纳 更 多 人 上 当 受 骗 , 如 
图 5-43 所 示 。 


全 民 理 财 动态 推荐 


推荐 奖金 直 推 三 单 奖 励 
红 区 每 推荐 三 单 红宝石 全 
宝 和 页 可 某 至 900 元 闫 励 
| 推荐 一 单 蓝宝石 会 员 芳 

会 了 RS 冯 语 ， 每 推荐 三 单间 宝石 全 
页 至 1600 元 直 推 疾 员 可 革 香 1000 元 关 励 


5-43 ”传销 式 奖励 


- 般 情 况 下 ,不 法 分 子 会 先 让 部 分 投资 者 尝 到 甜头 ,引诱 这 部 分 投资 者 主动 为 其 宣传 ， 
从 而 “推介 ”更 多 的 人 (其 中 不 乏 自己 的 亲朋 好 友 ) 加 入 ,逐渐 扩大 投资 者 阵容 ,吸引 更 多 的 网 
民 参 与 ,呈现 出 非法 集资 新 动向 。 

案例 VTB 传销 式 “ 全 民 理 财 计划 ”涉嫌 网 络 金融 诈骗 上 千 万 元 。 

2014 年 7 月 初 ,贵州 六 盘 水 董 女士 在 百度 搜索 投资 信息 时 ,看 见 一 个 宣传 VTB 高 收益 
理财 项 目的 广告 , 便 通过 广告 中 的 QQ 号 联系 上 了 对 方 。 简 单 交 流 后 ,对 方 竭力 向 董 女士 推 
荐 “全 民 理 财 金融 会 所 ”( 后 改名 “VTP 投资 理财 金融 会 所 ”) 的 投资 项 目 , 声 称 该 项 目 隶 属 香 
港 实德 环球 集团 旗下 ,是 与 俄罗斯 第 二 大 商业 银行 VTB 银行 、 恒 众 金 融 投 资 等 合作 ,专门 
面向 互联 网 平台 的 网 民 投 资 者 的 。 随 后 , 对 方便 给 董 女士 邮箱 发 来 了 相关 说 明 资 料 , 如 
图 5-44 所 示 。 


全 民 理 财 动静 


静态 日 分 红 “| 静态 投资 额 为 一 千 的 整数 倍 ， 最 少 投资 1000 元 ， 最 多 5 0000 元 一 个 号 。 
日 分 红 额 为 投资 额 的 1. 5%， 共 分 红 120 日 

(例如 投资 1000 元 静态 ， 每 天 分 红 金 额 为 1000 元 的 1. 5% 即 15 元 ,一 
共 分 红 120 日 截止 分 红 ) 


静态 推荐 静态 | 静态 会 员 推荐 静态 会 员 ， 可 获得 对 方 投资 额 的 3% 作 为 直接 推荐 奖 。 以 后 
其 补 单 升 级 后 ， 将 依然 可 以 享有 补 单 金额 的 直接 推荐 奖 


动态 推荐 静态 | 动态 会 员 推荐 静态 会 员 ， EN 以 
后 其 补 单 升 级 后 ， 将 依然 可 以 享有 补 单 金额 的 直接 推 
和 
er i 每 层 见 
1%~ 2% 
有 人 
点 奖 。 以 后 静态 会 员 补 单 后 ， 依 然 能 享有 补 单 多 


动态 会 员 享 受 


5-44 ”骗子 发 给 受害 者 的 项 目 介绍 
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董 女士 算 了 下 ,如 果 她 投资 20 000 元 ,120 天 后 蚀 掉 本 金 , 她 可 净 赚 16 000 元 ,月 回报 
率 高 达 20%。7 月 9 日 , 董 女士 投入 了 第 一 笔 24 800 元 资金 ,果然 前 几 天 每 天 都 有 返利 ,她 
的 几 个 朋友 看 到 她 每 天 的 投资 都 有 收益 , 便 聚 集 了 10 多 位 朋友 一 起 加 入 了 这 个 项 目 。 前 后 
算 下 来 ,她 和 朋友 们 共 投 入 了 23.7 万 元 左右 。7 月 25 日 , 董 女士 忽然 发 现 *VTB 投资 理财 
金融 会 所 ”的 网 络 平台 不 返 钱 了 ,实德 环球 公司 的 网 站 也 打 不 开 , 所 有 的 本 钱 都 提 不 出 来 了 。 

无 独 有 偶 ,湖南 株洲 的 刘 女 士 听 从 网 友 陈 建 的 介绍 ,于 5 月 25 日 加 入 “全 民 理 财 计划 ”， 
从 会 员 账 号 注册 平台 下 载 到 操作 流程 ,都 是 在 陈 建 的 帮忙 下 进行 的 。 截 止 7 月 25 号 , 刘 女 
十 通过 “动态 投资 "计划 共计 投入 了 132 万 元 ,其 中 包括 自己 朋友 的 20. 8 万 元 ,最 后 全 都 血 
本 无 归 。 

这 家 涉嫌 网 络 金融 诈骗 的 “全 民 理财 金融 会 所 ” ,根本 不 是 香港 实德 环球 集团 旗下 的 ,而 
是 骗子 假冒 实德 环球 公司 名 义 发 布 的 虚假 投资 信息 。 

5) 网 站 无 ICP 备案 号 或 备案 信息 与 金融 无 关 

虚假 投资 理财 网 站 通常 都 没有 ICP 备案 号 (工业 和 信息 化 部 关于 网 站 备案 管理 系统 颁 
发 的 网 络 信息 许可 证 号 码 ) ,而 根据 国家 (互联 网 管理 办 法 规定, 经营 性 网 站 必须 办 理 ICP 
证 ,否则 就 属于 非法 经 营 。 此 外 ,有 些 网 站 虽 有 挂 ICP 备案 号 ,但 其 备案 信息 完全 是 跟 金 融 
类 无 关 的 内 容 , 甚 至 是 个 人 备案 ,这 样 的 理财 网 站 风险 性 都 极 高 。 

由 于 此 类 犯罪 活动 所 利用 的 网 络 服务 器 大 多 是 租借 来 的 ,服务 器 源头 可 以 在 境外 ,也 可 
以 在 境内 的 任何 一 个 地 方 ,犯罪 分 子 只 要 拥有 源 代码 , 即 可 以 根据 具体 情况 随时 封闭 或 开放 
网 站 。 因 此 ,一 旦 成 功 引诱 投资 者 上 当 , 当 投资 者 将 钱 打 入 不 法 分 子 开设 的 账户 后 ,他 们 可 
能 会 随时 关闭 网 站 、 销 毁 证 据 , 继 而 携 款 潜逃 。 同 时 ,此 类 犯罪 大 多 为 远程 遥控 作案 ,流动 性 
大 ,活动 范围 广 , 流 帘 作 案 的 可 能 性 非常 大 ,而 此 类 诈骗 涉及 的 大 部 分 网 站 服务 器 一 般 都 设 
在 国外 ,警方 追查 起 来 尤为 困难 。 

案例 “旺旺 贷 爆 发 " 跑 路 门 ”。 

2014 年 4 月 15 日,P2P 投 资 平台 旺旺 贷 突 然 关 网 消失 , 据 不 完全 统计 ,受害 投资 者 至 
少 达 600 人 ,整个 平台 涉及 金额 或 超过 2000 万 元 。 受 害 人 中 ,有 在 校 大 学 生 , 企 业 职工 ,也 
有 公务 员 。 而 来 自 北京 某 机关 单 位 的 受害 人 刘 先 生 ,虽然 拥有 博士 学 历 , 却 也 被 骗 了 60 多 
万 元 。 

刘 先 生 从 2 月 开始 关注 旺旺 贷 , 起 初 他 查 了 旺旺 贷 的 一 些 信息 ,并 没有 发 现 旺 旺 贷 的 负 
面 信息 ,并且 旺旺 贷 的 官网 有 某 知 名 搜索 引擎 的 信誉 “V? 字 认证 ,在 搜索 结果 中 排 在 第 一 
位 。 对 比 其 他 P2P 网 贷 平 台 , 他 发 现 旺旺 贷 网 站 在 表面 上 算是 比较 专业 的 。 此 外 ,旺旺 贷 
在 工信部 网 站 里 可 以 查 到 备案 信息 。 备 案 管理 系统 显示 : 旺旺 贷 2014 年 1 月 通过 审核 , 主 
办 单位 是 “深圳 纳 百川 担保 有 限 公 司 ”. 网 站 负责 人 张 某 。 

充分 考察 后 ,3 月 13 日 , 刘 先 生 在 旺旺 贷 注册 了 账号 ,通过 信用 卡 投 了 一 笔 借 款 期 限 为 
1 个 月 的 200 元 标 。 中 标 后 ,旺旺 贷 发 送 短信 和 邮件 提示 刘 先 生 ,1% 的 额外 奖励 进入 他 的 
旺旺 贷 账户 。 通 过 查询 银行 交易 明细 , 刘 先 生发 现 ,资金 进出 都 是 通过 第 三 方 支付 平台 迅 付 
信息 科技 有 限 公 司 完 成 。 他 以 为 资金 由 第 三 方 支付 平台 托管 , 便 更 加 放心 了 。 

3 月 14 日, 刘 先生 又 投了 7 万 多 元 ,借款 标的 期 限 仍 为 1 个 月 ,额外 1% 的 奖励 也 实时 
到 了 他 的 账户 ,他 也 能 顺利 提取 。 此 后 一 直到 4 月 1 日 ,他 先后 中 了 16 次 标 , 投 入 60 多 万 
元 ,直到 信用 卡 额度 用 完 , 现 金 用 光 , 他 等 着 收 货 的 时 候 , 期 待 落空 了 。 
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4 月 13 日 是 第 一 笔 投 资 的 回 款 时 间 , 旺 旺 贷 也 短信 提示 回 款 进入 他 的 旺旺 贷 账 户 。 但 
刘 先 生 想 把 钱 转 到 自己 的 银行 卡 却 没 成 功 。 旺 旺 贷 客服 说 当天 是 周末 ,让 他 工作 日 操作 。 

次 日 是 工作 日 , 刘 先 生 转 款 还 是 失败 了 。 这 次 旺旺 贷 客服 的 固定 电话 已 经 停机 ,以 400 
开头 的 另 一 客服 电话 称 ,“ 旺 旺 贷 与 第 三 方 支付 银行 端口 出 现 故 障 ”。 当 天 下 午 6 时 左右 , 刘 
先生 再 次 致电 旺旺 贷 ,发 现 固 话 和 400 电话 都 无 人 接听 了 。15 日 ,旺旺 贷 的 网 站 就 无 法 访 
问 了 , 刘 先 生 这 才 确 信 自 己 的 60 多 万 全 被 骗 光 了 。 

工商 资料 显示 , 纳 百川 担保 成 立 于 2013 年 11 月 21 日 ,核准 日 期 为 2013 年 12 月 2 日 ， 
是 深圳 市 场 监 管 局 登记 注册 的 非 融 资 性 担保 公司 。 按 照 规定 , 非 融 资 性 担保 公司 不 能 开展 
融资 担保 业务 。 

此 外 ,旺旺 贷 及 其 担保 方 深圳 纳 百川 注册 的 地 址 ,经 查证 后 子虚乌有 。 实 际 上 ,根本 不 
存 “ 深 圳 纳 百 川 担 保有 限 公 司 ” 的 主体 ,旺旺 贷 是 一 个 彻头彻尾 的 诈骗 平台 。 而 所 谓 的 第 三 
方 支付 平台 ,也 只 是 网 站 接口 ,并 不 涉及 资金 托管 ,等 于 受害 者 直接 把 钱 汇 给 了 “旺旺 贷 ”。 

就 目前 出 现 的 P2P 跑 路 诈骗 平台 来 看 ,普遍 具备 以 下 特点 。 

(1) 骗子 平台 : 建 一 个 P2P 借贷 系统 的 空 壳 ,标榜 高 于 一 般 平台 的 收益 和 优惠 政策 来 
引诱 投资 人 。 投 资 人 轻信 并 做 出 投资 行为 的 初期 ,这 些 骗子 会 按照 “承诺 ”履行 买 赠 或 返点 ， 
从 而 继续 笼络 更 多 资金 , 当 资 金 达到 一 定 规模 的 时 候 , 骗 子平 台 便 人 去 楼 空 。 

(2) 搞 资 金池 : 不 使 用 第 三 方 托管 机 构 ,投资 人 的 钱 被 放 和 人 平台 关联 的 资金 池 中 ,再 由 
平台 借 给 借款 人 ,从 而 使 资金 的 流向 不 透明 。 最 新 的 监管 措施 明确 规定 ,P2P 平 台 只 能 是 中 
介 平 台 , 不 得 建立 资金 池 , 这 就 需要 资金 接受 第 三 方 托管 。 

(3) 非法 集资 : 平台 融资 后 自用 , 因 本 身 财 务 风 险 控制 等 问题 导致 人 不 甫 出 ,从 而 无 法 
如 期 返还 投资 人 的 资金 ,出现 资金 链 断 裂 。 

(4) 平台 自行 担保 : P2P 平 台 自身 为 借款 人 做 担保 ,由 于 审核 机 制 、 风 控 能 力 等 缺乏 ， 
往往 难以 确保 借款 人 的 信誉 等 问题 ,最 后 导致 出 现 坏账 等 问题 使 平台 资金 链 断 裂 。 

2. 网 络 投资 理财 诈骗 的 预警 与 防范 举措 

大 部 分 人 对 投资 理财 都 是 盲目 的 ,尤其 是 面 对 网 络 上 制作 精美 的 虚假 理财 网 站 时 , 因 人 缺 
乏 对 投资 项 目 和 投资 理财 公司 的 了 解 和 鉴定 ,就 容易 被 钓鱼 者 “ 零 风 险 "“ 高 回报 ”的 喷头 吸 
引 走 。 因 此 , 当 遇 到 高 收益 的 理财 产品 时 ,应 先 冷 静 地 从 以 下 几 点 来 辨别 其 信息 真 假 。 

1) 查看 该 网 址 是 否 有 合法 的 ICP 备案 信息 

ICP 证 是 网 站 经 营 的 许可 证 ,根据 国家 《互联 网 信息 服务 管理 办 法 ?规定 ,经 营 性 网 站 必 
须 办 理 ICP 证 ,否则 就 属于 非法 经 营 。 网 民 在 工信部 的 ICP 系统 中 输入 网 址 域名 查询 网 址 
备案 信息 ,对 那些 无 备案 信息 ,或 是 备案 信息 显示 为 个 人 ,或 是 与 金融 证 券 类 无 关 的 ,一定 要 
提高 警惕 。 

2) 宣称 “天 天 分 红 ”“ 保 本 保 收 益 ” 的 基本 都 是 骗子 

任何 投资 都 是 有 风险 的 ,目前 各 大 银行 发 行 的 理财 产品 收益 率 超过 5% 的 ,一般 都 是 5 
万 起 购 ,投资 周期 至 少 在 三 个 月 以 上 , 且 深 受 货币 市 场 资金 紧张 程度 的 影响 ,收益 波动 很 大 。 
因此 ,凡是 收益 率 远 超 银行 理财 产品 的 投资 ,都 具有 极 大 的 风险 性 ,而 那些 宣称 “保本 保 收 
益 ”, 且 短期 分 红 在 100%、200% 以 上 的 ,基本 都 是 金融 骗局 。 

3) 核实 理财 产品 真实 投资 的 项 目 情况 

虚假 的 投资 理财 网 站 往往 提供 的 投资 项 目 繁多 , 且 无 实质 性 实业 投资 说 明 ,一 般 只 是 笼 
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统 地 提 到 项 目 资金 用 于 能 源 、 矿 产 等 领域 ,或 是 与 国家 基础 设施 建设 相关 的 项 目 中 ,而 没有 
资金 支配 方向 \ 企 业 收 益 状况 等 详细 信息 。 对 陌生 的 网 络 投资 项 目 , 最 好 联系 到 投资 公司 进 
行 实地 考察 后 再 谨慎 考虑 。 


5.4 移动 互联 安全 防范 


2014 年 8 月 14 日 ,移动 互联 网 国际 研讨 会 (IMIC) 在 北京 召开 ,移动 互联 网 的 发 展 风头 
正 旺 。 数 据 显示 ,中 国 移动 宽带 用 户 占 移动 用 户 的 比例 在 2014 年 6 月 份 已 经 达到 38.5%， 
预计 2014 年 底 很 可 能 达到 40%。 根 据 CNNIC 的 数据 ,到 6 月 份 ,手机 网 民 已 经 超过 了 PC 
网 民 。 

搜索 和 新 闻 仍 然 是 网 民 在 智能 终端 上 的 主要 行为 ; 其 次 是 社交 应 用 ,包括 微 信 等 正在 
成 为 主流 ,然后 是 微 博 、 邮 件 等 ; 而 游戏 和 娱乐 业务 也 发 展 迅 速 。 手 机 支付 的 规模 正在 不 断 
增长 ,2013 年 第 三 方 手机 支付 的 市 场 规模 超过 1. 2 万 亿 , 用 户 数 已 经 超过 1. 25 亿 , 同 比 增 
长 超过 700% 。 另 外 ,位 置 服务 的 发 展 推动 了 商业 化 应 用 ; 智能 终端 接 入 各 种 传感器 ,开启 
了 物 联网 应 用 ; 移动 医疗 和 健康 服务 正在 迅速 发 展 ,移动 的 新 应 用 层出不穷 。 

在 移动 互联 网 迅猛 发 展 的 同时 ,移动 互联 网 安全 问题 也 不 容 忽视 。 原 中 国 工 程 院 副 院 
长 邬 贺 狂 院 士 称 之 为 " 风 急 浪 高 ”, 他 认为 ,移动 互联 网 在 物理 层 、 传 输 层 、 网 络 层 ,. 应 用 层 都 
有 安全 问题 ,而 要 保障 移动 互联 网 安全 ,需要 采取 多 种 措施 ,从 身份 认证 到 攻击 防护 再 到 应 
用 安全 ,需要 在 多 个 方面 构建 移动 互联 网 的 安全 防护 。 

移动 终端 本 身 有 很 多 安全 风险 。iPhone 的 安全 问题 给 人 们 敲 响 了 警钟 ,在 iOS 和 
Android 平台 上 安全 问题 都 无 法 切实 得 到 保障 。 

万 物 互 联 将 会 是 未 来 的 趋势 。 他 表示 ,不仅 手机 、 电脑 .电视 机 等 传统 信息 化 设备 将 连 
入 网 络 ,家 用 电器 和 工厂 设备 .基础 设施 等 也 将 逐步 成 为 互联 网 的 端点 。 

部 贺 狂 院 十 预测 ,到 2018 年 ,用 户 使 用 的 信息 终端 将 会 全 面 移动 化 ,每 个 用 户 平均 拥有 
1.4 台 接 入 网 络 的 移动 设备 ,38% 的 用 户 将 会 携带 个 人 移动 设备 办 公 , 这 将 催生 海量 的 移动 
应 用 和 数据 。 邬 贺 狂 认 为 “将 来 移动 智能 终端 的 数量 将 超过 地 球 人 口 的 总 和 ,其 在 保持 动 
态 运作 时 也 将 产生 无 法 预知 的 漏洞 。” 


5.4.1 二 维 码 安全 防范 


二 维 码 自 普 及 以 来 ,无 论 是 从 它 的 便捷 性 ,还 是 其 安全 问题 ,一 直 都 是 公众 关注 的 焦点 
问题 。 扫 描 二 维 码 已 成 了 手机 族 最 流行 的 互动 方式 。 无 论 网 上 购物 、 互 加 好 友 、 购 物 优惠 
等 ,用 手机 扫 一 扫 就 可 轻松 搞定 。 似 乎 一 夜 之 间 ,二 维 码 遍 布 各 电 商 平台 .商场 网 站 杂志、 
甚至 车 票 上 ,二 维 码 迅速 成 为 移动 互联 网 时 代 的 新 宠儿 。 

与 此 同时 ,借助 二 维 码 进行 传播 的 手机 病毒 .恶意 程序 也 日 益 增 加 。 由 于 二 维 码 技术 已 
经 相对 成 熟 , 普 通用 户 即 可 通过 网 上 的 二 维 码 转换 软件 ,任意 合成 二 维 码 ,并 且 从 外 观 上 并 
不 能 判断 其 安全 性 ,这 就 更 加 方便 了 黑客 针对 二 维 码 进 行 各 种 非法 操作 。 用 户 一 旦 扫描 了 
嵌 人 病毒 链接 的 二 维 码 ,其 个 人 信息 、 银 行 账号 .密码 等 就 可 能 完全 暴露 在 黑客 面前 , 酿 成 的 
后 果 可 想 而 知 。 
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二 维 码 扫 码 陷阱 自 2013 年 也 开始 兴起 ,最 早 时 骗子 冒充 买 家 ,以 发 送 订 货 单 等 名 义 向 
卖家 发 送 含有 木马 的 二 维 码 。2014 年 第 一 季度 起 ,骗子 又 冒充 卖家 以 运 险 费 、 打 折 等 名 
义 向 买 家 发 送 钓 鱼 二 维 码 , 贪 小 便宜 的 买 家 一 旦 扫描 二 维 码 ,就 会 被 诱导 到 假 淘宝 页 面 ， 
其 账号 密码 等 个 人 信息 就 会 被 骗子 资 取 ,对 方 就 能 随意 消费 其 绑 定 快捷 支付 的 银行 卡 余 
额 了 。 

案例 1 卖家 扫 二 维 码 被 转账 。 

河南 的 淘宝 店主 王 先生 回忆 称 , 某 一 天 他 在 网 上 售 货 , 有 买 家 说 要 和 同学 一 起 购买 多 款 
商品 ,担心 买 错 款式 ,他们 就 用 手机 做 了 一 个 二 维 码 清 单 , 这 样 王 先 生 用 手机 一 扫描 就 能 知 
道 他 们 要 买 什么 了 。 

然而 , 王 先 生 扫 描 完 二 维 码 后 就 跳 转 到 一 个 


文件 下 载 页 面 ,如 图 5-45 所 示 。 等 安装 并 打开 名 i 

为 “购物 清单 "的 apk 文件 后 ,看 到 的 却 是 乱码 , 根 

本 没有 任何 商品 信息 。 1] 
王 先生 称 : “我 再 去 问 买 家 为 何 看 不 到 时 ,他 图 

就 下 线 了 .” 没 隔 几 分 钟 , 却 收 到 网 购 充值 卡 成 功 购物 清单 .apk 


的 短信 提醒 ,同时 电脑 也 弹 窗 提 示 说 他 的 支付 宝 
在 异地 登录 , 忽 觉 事情 蹊跷 的 王 先生 赶紧 尝试 修 
改 支付 宝 密码 ,可 这 才 发 现 密码 已 被 人 改 掉 。 

事实 上 , 王 先生 遭遇 了 典型 的 二 维 码 钓鱼 其 下 载 该 文件 
诈 , 当 他 下 载 并 运行 了 所 谓 的 “购物 清单 ”文件 后 ， 
暗藏 的 apk 木马 就 成 功 人 侵 了 他 的 手机 。 这 种 发 
送 二 维 码 的 木马 ,在 启动 后 会 发 送 激活 短信 和 受 
害 者 的 手机 号 给 黑客 ,接着 受害 者 手机 中 的 所 有 
短信 就 会 被 木马 拦截 并 转发 给 黑客 。 然 后 黑客 
会 利用 其 手机 号 作为 支付 宝 用 户 名 ,进行 短信 重 置 密码 的 操作 ,从 而 成 功 咨 刷 受害 者 的 
网 银 。 

由 于 手机 短信 被 拦截 ,黑客 的 这 些 操作 受害 人 是 完全 看 不 到 的 ,一 旦 掉 和 人 此 类 二 维 码 陷 
阱 ,支付 宝 和 网 银 可 能 将 被 骗子 洗劫 一 空 。 这 次 王 先生 之 所 以 看 到 了 付款 成 功 的 短信 ,可 能 
是 木马 操作 者 误 操 作 所 致 ,幸而 他 及 时 冻结 了 支付 宝 余额 , 才 避 免 了 遭受 更 多 损失 。 

防 骗 指 南 如 下 。 

(1) 不 要 轻信 陌生 人 发 来 的 二 维 码 信息 ,如 果 扫 描 二 维 码 后 打开 的 网 站 要 求 安 装 新 应 
用 程序 ,不 要 轻易 安装 。 

(2) 遇 到 交易 对 方 有 明显 古怪 行为 的 ,就 应 当 提高 警惕 ,不 要 轻信 对 方 的 说 辞 。 比 如 在 
本 案 中 , 买 家 坚持 用 手机 二 维 码 发 送 选 购 清单 。 对 于 普通 人 来 说 ,制作 二 维 码 实际 上 一 件 挺 
麻烦 的 事 , 正 常 买 家 完全 可 以 在 聊天 窗口 直接 发 送 链接 ,没有 必要 费事 地 制作 二 维 码 。 所 以 
这 就 是 需要 警惕 的 古怪 行为 。 

(3) 与 陌生 人 进行 网 上 交易 或 交流 时 ,不 要 轻易 地 更 换 交 易 或 交流 的 平台 。 比 如 本 案 
中 ,双方 的 交流 就 被 骗子 强制 要 求 从 PC 上 跳 到 了 手机 上 。 这 种 突然 而 且 没 有 必要 的 平台 
转换 ,实际 上 就 是 为 了 把 受害 者 吸引 到 一 个 他 不 熟悉 的 环境 中 ,从 而 更 方便 地 实施 诈骗 。 


或 将 该 文件 发 送 到 邮箱 
输入 Email 地 址 发 送 


图 5-45 扫描 二 维 码 结果 
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(4) 使 用 手机 安全 软件 ,开启 “隐私 行为 监控 ”功能 ,可 以 拦截 最 新 的 木马 ,拦截 木马 读 
取 短信 等 行为 。 

案例 2 买 家 扫 二 维 码 被 转账 。 

一 天 ,受害 人 谢 女 士 在 淘宝 买 衣服 , 拍 下 订单 并 成 功 付款 后 ,卖家 发 来 一 个 二 维 码 , 告 j 
谢 女 士 扫描 二 维 码 后 可 获 赠 免 费 的 运费 险 , 若 运输 途中 货物 丢失 、 商 品 损坏 ,可 直接 由 保险 
公司 来 理赔 。 

谢 女 士 心 想 反 正 是 白 送 的 ,多 个 运 险 费 更 保险 些 , 于 是 想 都 没 想 就 去 扫 了 二 维 码 。 扫 码 
后 , 谢 女 士 按照 网 页 提示 登录 了 “淘宝 网 站 ”( 其 实 是 假冒 淘宝 的 钓鱼 页 面 ) ,并 按 提示 先后 输 
入 淘宝 密码 ,支付 密码 及 手机 验证 码 。 结 果 奇 怪 的 是 ,无 论 她 怎么 操作 ,页 面 总 是 提示 “ 运 险 
费 授 权 失 败 ”"。 等 她 再 联系 卖家 发 货 时 , 却 发 现 原 本 订货 的 交易 记录 突然 变 成 “确认 收 货 ”， 
她 的 钱 已 经 打 到 对 方 账户 去 了 。 

防 骗 指南 如 下 ， 

(1) 不 要 随意 扫描 陌生 人 发 来 的 二 维 码 , 如 果 扫 描 二 维 码 后 提示 安装 程序 或 登录 网 站 ， 
一 定 要 额外 谨慎 ,不 要 轻易 安装 程序 或 登录 个 人 账号 ,尤其 是 网 银 、 淘 宝 、 支 付 宝 等 与 自身 财 
产 密切 相关 的 账号 ,以 免 损 失 钱 财 。 

(2) 在 淘宝 进行 交易 ,与 陌生 人 进行 网 上 交易 或 交流 时 ,不 要 轻易 更 换 交 易 或 交流 的 平 
台 。 骗 子 就 是 为 了 把 受害 者 吸引 到 一 个 他 不 熟悉 的 环境 中 ,从 而 更 方便 地 实施 诈骗 。 

(3) 退货 运 险 费 , 是 淘宝 针对 买 家 推出 了 退货 运费 险 服 务 , 需 要 买 家 在 购物 过 程 中 自行 
购买 ,因此 根本 不 存在 卖家 赠送 的 情况 。 若 碰 到 卖家 主动 要 求 赠 送 运 险 费 的 情况 ,一 定 要 保 
持 高 度 警 觉 ,以 免 上 当 受 骗 。 

(4) 使 用 手机 安全 软件 的 安全 扫 码 功能 ,可 以 拦截 手机 木马 和 钓鱼 网 站 。 


5.4.2 手机 支付 安全 防范 


中 国 互 联网 络 信息 中 心 CCNNIC) 发 布 的 数据 显示 : 截至 2013 年 12 月 底 , 中 国 网 民 规 
模 达 6. 18 亿 , 同 比 增长 9. 6%; 手机 网 民 规模 达 5.0 亿 , 同 比 增长 19.0%, 占 总 网 民 数 的 
81.0% 。 手 机 支付 用 户 规模 达到 1. 25 亿 , 同 比 增长 了 126.0%, 占 手机 网 民 总 量 的 25.0% 。 
截至 2014 年 6 月 ,移动 支付 用 户 规模 达 到 2. 05 亿 。 手 机 支付 用 户 的 增长 速度 远 远 高 于 网 
民 总 规模 的 增长 速度 和 手机 网 民 规模 的 增长 速度 。 

继 银 行 卡 支付 ,网 上 支付 (PC 端 ) 之 后 ,中 国 消费 者 已 经 快速 进入 了 移动 支付 时 代 。 不 
过 ,由 于 智能 手机 系统 的 某 些 先 天 性 不 足 ,移动 支付 安全 一 直 受 到 手机 安全 漏洞 和 各 类 手机 
木马 的 威胁 。 此 外 ,手机 还 是 传统 网 上 支付 (PC 端 ) 的 重要 验证 途径 和 消费 通知 途径 ,也 是 
各 类 诈骗 短信 攻击 的 目标 。 因 此 ,尽管 目前 所 有 的 移动 支付 产品 都 非常 重视 支付 的 安全 性 ， 
但 移动 支付 的 安全 性 问题 仍然 存在 很 多 隐患 。 

1. 手机 漏洞 

漏洞 的 发 现 与 修复 ,是 智能 手机 操作 系统 安全 性 的 根本 保证 。 但 与 个 人 电脑 不 同 ,手机 
操作 系统 ,特别 是 市 场 占有 率 超过 70% 的 安 卓 系统 ,呈现 出 显著 的 碎片 化 现象 。 手 机 操作 
系统 的 发 布 与 更 新 往往 是 由 各 个 手机 厂商 独立 完成 的 ,而 且 几 乎 每 个 手机 厂商 都 会 根据 自 
己 的 软 硬 件 设计 ,对 原生 的 安 卓 操作 系统 进行 或 多 或 少 的 定制 化 开发 。 因 此 ,即便 是 安 卓 系 
统 的 原始 开发 者 Google 公司 ,也 无 法 掌控 所 有 的 手机 漏洞 修复 与 版 本 更 新 。 手 机 操作 系统 
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更 没有 形成 Windows 那样 的 全 球 统一 的 漏洞 发 布 与 补丁 更 新 机 制 。 这 就 使 得 手机 操作 系 
统 的 安全 性 面临 了 更 加 复杂 的 挑战 ,手机 漏洞 也 层出不穷 。 

在 手机 漏洞 中 ,签名 漏洞 对 移动 支付 安全 性 的 威胁 最 为 严重 。 因 为 黑客 可 以 利用 这 个 
漏洞 ,对 正常 的 支付 工具 或 网 银 客户 端 进行 自 改 ,而 自 改 之 后 ,程序 的 数字 签名 不 会 发 生 改 
变 , 因 此 也 很 难 被 发 现 。 

其 次 是 短信 和 欺诈 漏洞 ,手机 木马 可 以 利用 这 个 漏洞 来 向 手机 发 送 欺 诈 短信 ,并 以 网 银 升 
级 .账号 过 期 等 为 借口 , 诱 使 机 主 安装 其 他 木马 或 登录 钓鱼 网 站 ,进而 窃取 机 主 支付 账号 密 
码 和 账户 资金 。 

后 台 消 息 和 后 台电 话 漏洞 并 不 直接 威胁 支付 安全 。 但 木马 可 以 利用 这 些 漏 洞 在 机 主 不 
知情 的 情况 下 发 送 扣 费 短信 ,拨打 扣 费 电话 ,从 而 快速 地 消耗 手机 话费 。 对 于 很 多 习惯 用 手 
机 话费 进行 支付 和 消费 的 用 户 来 说 ,需要 特别 警惕 。 

1) 签名 漏洞 危及 99% 的 安 卓 手 机 

2013 年 7 月 ,Bluebox 公司 曝光 了 一 个 严重 的 安 卓 系统 签名 漏洞 。 该 漏洞 使 99% 的 安 
卓 设 备 面临 巨大 风险 : 黑客 可 以 在 不 破坏 APP 数字 签名 的 情况 下 , 算 改 任何 正常 的 手机 应 
用 ,并 进而 控制 中 招手 机 ,实现 偷 账号 、 窃 隐私 . 打 电 话 或 发 短信 等 任意 行为 ,从 而 使 手机 瞬 
间 沦 为 “肉鸡 ”。 该 漏洞 也 被 业界 公认 为 史上 最 严重 的 安 卓 系统 签名 漏洞 。 

利用 该 漏洞 实施 攻击 的 手机 木马 会 导致 手机 隐私 被 窃 .自动 向 通讯 录 联 系 人 群发 诈骗 
短信 及 私自 发 送 扣 费 短信 。 在 这 些 木马 中 ,就 有 大 量 木马 是 被 算 改 后 的 第 三 方 支付 软件 或 
网 银 客户 端 软件 。 一 旦 感染 此 类 木马 ,用 户 的 账户 密码 就 会 面临 被 盗 威 胁 。 

2) 挂 马 漏洞 致使 点 击 网 址 即 中 招 

2013 年 9 月 , 安 卓 系统 WebView 开发 接口 引发 的 挂 马 漏洞 被 曝光 。 黑 客 通过 受 漏洞 
影响 的 应 用 或 短信 、 聊 天 消息 发 送 一 个 网 址 , 安 卓 手机 用 户 一 旦 点 击 网 址 ,手机 就 会 自动 执 
行 黑客 指令 ,出 现 被 安装 恶意 扣 费 软件 ,向 好 友 发 送 欺诈 短信 ,通讯 录 和 短信 被 窃取 等 严重 
后 果 。 国 内 大 批 热门 应 用 和 手机 浏览 器 受到 影响 。 该 漏洞 也 可 被 用 于 攻击 网 银 或 支付 
工具 。 

2. 手机 木马 

2013 年 截获 的 Android 平台 木马 中 , 吸 费 木 马 占 比 为 67% ,包括 46% 的 资费 消耗 ( 主 
要 是 消耗 上 网 流量 ) 木 马 和 21% 的 恶意 扣 费 类 恶意 程序 (主要 是 上 暗中 发 送 扣 费 短信 定制 增 
值 服务 或 在 后 台 偷 偷 拨打 吸 费 电话 )。 由 于 手机 话费 本 身 也 可 以 用 来 进行 多 种 网 上 支付 , 因 
此 , 占 总 量 近 七 成 的 吸 费 恶意 程序 ,从 某 种 程度 上 说 ,也 是 对 移动 支付 安全 的 威胁 。 

2013 年 5 月 出 现 了 一 款 名 为 “支付 鬼 手 ?手机 木马 ,该 木马 伪装 成 淘宝 客户 端 ,将 用 户 
输入 的 淘宝 账号 、 密 码 以 及 支付 密码 通过 短信 暗中 发 送 至 黑客 手机 ,同时 诱导 用 户 安装 木马 
子 包 ,木马 子 包 会 劫持 用 户 收 到 的 包含 验证 码 在 内 的 所 有 短信 ,并 联网 上 传 或 直接 转发 至 黑 
客 手 机 。 而 黑客 一 旦 收 到 这 些 信息 ,就 会 将 用 户 支 付 宝 财产 洗劫 。“ 支 付 鬼 手 是 当时 截获 
的 唯一 一 个 具有 完整 盗窃 支付 账号 能 力 的 手机 木马 。 

很 多 网 上 支付 工具 都 会 与 手机 绑 定 ,用 于 发 送 验证 码 和 交易 信息 通知 。 进 入 2013 年 以 
来 ,以 拦截 和 窃取 交易 短信 为 目标 的 手机 木马 迅速 泛滥 ,最 典型 的 是 名 为 “隐身 大 次 ”的 安 卓 
木马 家 族 。 此 类 木马 运行 后 会 监视 受害 者 短信 ,将 银行 ,支付 平台 等 发 来 的 短信 拦截 掉 , 然 
后 将 这 些 短信 联网 上 传 或 转发 到 黑客 手机 中 。 黑 客 利 用 此 木马 配合 受害 者 身份 信息 ,可 重 
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置 受害 者 支付 账户 。 

2013 年 6 月 ,一 款 Backdoor. AndroidOS. Obad. a 的 木马 偷偷 发 送 短信 为 手机 定制 扣 
费 业 务 , 并 下 载 更 多 的 恶意 程序 。 此 外 ,为 了 在 短 时 间 内 感染 更 多 设备 ,已 被 感染 的 手机 还 
会 被 控制 自动 搜索 其 他 蓝牙 设备 ,发 送 恶意 程序 并 远程 执行 木马 命令 进行 安装 。 而 特别 值 
得 注意 的 是 ,该 木马 具备 “ 反 查 杀 , 难 解析 , 难 印 载 ”等 特性 ,是 迄今 为 止 发 现 的 结构 最 复杂 的 
Android 木马 之 一 。 其 独特 之 处 在 于 该 木马 具备 三 层 防 查 杀 特性 ,使 该 木马 不 仅 很 难 被 发 
现 ,而 且 极 难 被 卸载 。 此 外 ,该 木马 还 利用 Android 系统 自身 的 漏洞 ,将 其 注册 为 设备 管理 
器 且 在 列表 中 不 显示 ,最终 使 木马 程序 无 法 关闭 和 钊 载 ,使 被 感染 的 手机 始终 处 于 安全 风险 
之 中 。 不 仅 如 此 ,该 木马 还 利用 了 Android 系统 存在 的 另 一 种 缺陷 。 使 得 该 木马 即便 以 一 
种 错误 的 方式 注册 进 设备 管理 器 ,Android 系统 也 能 让 其 注册 成 功 ,而 用 户 却 无 法 找到 取消 
该 木马 管理 权限 的 和 人口 ,此 时 木马 便 可 随意 在 被 感染 手机 中 作恶 。 

3. 手机 病毒 

随 着 移动 支付 的 不 断 普及 ,手机 支付 病毒 开始 逐渐 蔓延 。2014 年 1 一 9 月 ,新 增 手机 支 
付 病 毒 包 总 数 达 到 11. 6 万 ,在 第 三 季度 ,手机 支付 类 病毒 迎 来 增长 高 峰 。 截 止 到 2014 年 第 
三 季度 ,累计 支付 类 病毒 包 总 数 已 达到 16. 3 万 。 

1) 二 次 打包 

2013 年 初 , 首 款 感 染 国内 银行 手机 客户 端 一 -中 国 建设 银行 的 手机 支付 病毒 
a. expense. lockpush (洛克 蠕虫 ) 通 过 二 次 打包 的 方式 ,把 恶意 代码 嵌入 银行 APP, 伪装 成 
正常 软件 ,在 后 台 运 行 恶 意 程序 ,并 私自 下 载 软 件 和 安装 ,进一步 安装 恶意 子 包 , 穷 取 银 行 账 
号 及 密码 ,继而 盗 走 用 户 账号 中 的 资金 。 

2) 仿冒 程序 

2013 年 5 月 ,a. privacy. leekey. b( 伪 淘宝 ) 病 毒 通过 模拟 淘宝 官方 的 用 户 登录 页 面 收集 
用 户 输入 的 淘宝 账号 密码 以 及 支付 密码 。 当 和 手机 用 户 安装 “ 伪 淘 宝 ” 木 马 客户 端 之 后 ,在 “ 伪 
淘宝 ”的 木马 客户 端 登录 页 面 , 用 户 输入 用 户 名 和 密码 , 单 击 登录 ,就 会 执行 发 送 短信 的 代 
码 ,将 用 户 的 账户 名 和 密码 发 送 到 指定 的 手机 号 码 13027225522。 

3) 验证 码 转 发 

2013 年 12 月 ,a. remote. eneity (短信 盗贼 ) 病 毒 可 转发 手机 用 户 短信 (包括 验证 码 短 
信和 ?到 指定 号 码 , 并 拦截 用 户 短信 ,通过 窃取 验证 码 来 配合 窃取 支付 宝 里 的 金额 ,给 用 户 隐 
私 、 支 付 安全 等 带 来 了 严重 威胁 。 

4) 监控 诱导 

2014 年 1 月 ,a. rogue. bankrobber( 银 行 悍 菲 ) 病 毒 可 以 直接 监控 二 十 多 个 手机 银行 的 
APP ,窃取 账号 .密码 等 信息 。 该 病毒 由 母 程序 (简称 母 包 ) 和 子 程序 (简称 子 包 ) 组 成 , 母 包 
中 含有 恶意 子 包 。 母 包 通 常 被 二 次 打包 到 热门 游戏 中 ,通过 游戏 软件 需要 安装 资源 包 等 方 
式 诱 导 用 户 安装 和 启动 恶意 子 包 。 子 包 是 核心 的 恶意 程序 ,会 进一步 诱导 用 户 激活 设备 管 
理 器 ,获取 ROOT 权限 ,删除 SU 文件 ,安装 后 隐藏 图 标 ,卸载 杀毒 软件 ,监控 指定 Activity 
页 面 。 病 毒 可 隐藏 在 后 台 窃取 用 户 手 机 信息 和 短信 信息 ,同时 删除 短信 和 私自 发 送 短信 ,并 
且 窍 取 用 户 的 通话 记录 ,还 会 根据 短信 命令 控制 手机 ,比如 ,开启 监听 短信 ,窃取 通话 记录 ， 
屏蔽 回执 短信 ,删除 所 有 短信 ,并 读 取 手机 中 安装 的 购物 客户 端 ( 淘 宝 ) 和 银行 客户 端 信息 。 
一 旦 用 户 安装 运行 了 “山寨 手机 银行 ”, 就 会 被 要 求 用 户 输入 手机 号 、 身 份 证 号 、 银 行 账号 、 密 
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码 等 信息 ,并 把 这 些 信息 上 传 到 黑客 指定 的 服务 器 , 盗 取 了 银行 账号 密码 后 ,立即 将 用 户 账 
户 里 的 资金 转 走 。 

手机 支付 类 病毒 从 二 次 打包 仿冒 程序 验证 码 转 发 监控 诱导 一 步 步 深入 窃取 用 户 支 
付 隐私 ,并 逐步 走向 单个 支付 类 病毒 多 种 特征 融合 的 趋势 。 

如 2014 年 3 月底 的 “鬼面 银 贼 "病毒 具备 二 次 打包 和 仿冒 程序 的 特征 ,仿冒 的 程序 包括 
支付 宝 年 度 红 包 大 派发 . 微 云图 集 、 移 动 掌 上 营业 厅 、 中 国人 民 银 行 、 中 国 建设 银行 、 理 财 管 
家 等 十 余 款 应 用 。 该 病毒 的 另 一 个 巨大 危害 在 于 可 以 监听 用 户 手机 短信 ,并 可 将 短信 内 容 
转发 至 指定 手机 号 码 。 


5.4.3 物 联网 安全 防范 


现在 许多 国家 的 基础 设施 已 经 与 互联 网 联系 在 了 一 起 ,如 通信 、 自 来 水 、 供 电 、 银 行 等 。 
今后 ,互联 网 会 把 今天 人 们 所 有 能 看 到 、 能 想到 、 能 碰 到 的 各 种 各 样 的 设备 ,大 到 工厂 里 的 发 
电机 车 床 ,小 到 家 里 的 冰箱 、 插 座 、 灯 泡 ,以 及 每 个 人 身上 带 的 戒指 、 耳 环 、 手 表 、 皮 带 ,所 有 
东西 都 可 以 连接 起 来 。 

当 所 有 的 设备 都 变 成 智能 化 ,都 接 入 网 络 以 后 ,可 以 被 攻击 的 入 口 也 会 越 多 。 如 智能 电 
表 可 能 会 被 黑客 利用 ,窃取 隐私 信息 ,甚至 改写 电费 账单 。 美国 曾经 利用 一 个 病毒 ,通过 公 
共 互 联网 络 渗 透 到 伊朗 的 核 设施 网 络 , 导 致 伊朗 核 设施 瘫痪 。 

在 亚太 信息 安全 领域 最 权威 的 年 度 峰 会 ,2014 中 国 互联 网 安全 大 会 (ISC 2014) 上 ,有 
来 自 国内 外 的 黑客 进行 各 种 攻防 演示 。 一 进 大 门 就 看 见 技术 人 员 在 进行 不 用 车 钥匙 打开 车 
门 的 表演 : 只 见 一 位 技术 人 员 按 了 一 下 琐 控 锁 , 车 灯 一 闪 车 身 一 响 , 门 锁 上 了 ; 而 旁边 另 
一 位 技术 人 员 在 电脑 上 鼓 的 了 一 会 ,并 将 一 块 电子 手表 连接 到 电脑 上 , 没 过 一 会 儿 ,技术 
人 员 将 电子 表 取 下 载 在 手腕 上 , 走 近 车 门 一 按 ,车 身 一 响 ,技术 人 员 将 之 前 锁 着 的 车 门 打 
生计 

随 着 物 联 网 概念 的 兴起 ,智能 健康 硬件 开始 进入 家 庭 生活 ,而 最 大 的 风险 就 可 能 来 自 于 
黑客 对 健康 和 安全 设备 的 攻击 。 随 着 联网 设备 越 来 越 多 ,黑客 开始 基于 金钱 利益 或 造成 人 
身 伤 害 为 目的 来 选择 目标 。 据 外 媒 报 道 , 连 接 互 联网 的 医疗 设备 被 预测 为 物 联 网 谋杀 的 第 
一 来 源 , 其 中 包括 心脏 起 搏 器 胰岛素 泵 等 设备 。 欧 洲 刑警 组 织 曾 宣 称 , 随 着 物 联 网 漏洞 报 
告 浮 出 水 面 ,这 种 攻击 正 变 得 不 可 避免 。 有 报道 称 ,已 经 收集 到 的 统计 数据 显示 ,由 于 恶意 
软件 侵袭 ,美国 有 多 达 300 台 用 来 分 析 高 危 妊娠 孕妇 的 设备 运行 速度 已 经 放 缓 。 而 美国 前 
副 总 统 迪 克 。… 切 尼 的 植 入 式 心脏 除 颤 器 也 因为 害怕 黑客 入 侵 , 禁 用 了 无 线 连接 功能 。 

下 面 以 智能 汽车 为 例 说 明 物 联网 存在 的 安全 问题 。 

智能 汽车 是 以 传统 汽车 为 基础 ,加 装 传感器 (雷达 、 摄 像 ) .控制 器 ,执行 器 等 设备 ,通过 
车 载 传 感 系统 和 信息 终端 实现 与 人 员 、 车 辆 ,环境 的 智能 信息 交互 ,使 汽车 具备 感知 能 力 , 自 
动 分 析 汽 车 行驶 的 实时 状态 ,使 汽车 按照 人 的 意愿 做 出 行驶 ,停靠 .加速 、 刹 车 等 行为 ,最 终 
实现 替代 人 操作 驾驶 的 目的 。 简 而 言 之 ,智能 汽车 就 是 将 传统 汽车 智能 化 ,将 车 辆 中 由 人 和 
机 械 控制 的 部 分 功能 力 至 全 部 功能 交 由 信息 系统 信息 技 术 来 处 理 , 将 人 从 汽车 操作 中 解放 
出 来 。 

与 传统 汽车 相 比 ,智能 汽车 将 给 用 户 带 来 更 好 的 体验 ,部 分 甚至 全 部 的 操作 可 以 通过 智 
能 系统 来 完成 ,降低 了 汽车 的 操作 难度 与 使 用 门槛 ,被 解放 的 用 户 可 以 将 事件 用 于 休息 、 娱 
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乐 、 办 公 , 提 升 生活 与 工作 效率 。 用 户 在 行车 过 程 中 通过 传感器 、 无 线 网 络 实现 车 与 车 、 车 与 
网 的 无 颖 网 络 连接 ,汽车 大 量 接 和 网络 ,并 向 网 络 传输 数据 ,同时 也 从 云端 接收 数据 ,智能 汽 
车 最 终 会 成 为 继 电 脑 . 手 机 .电视 之 后 的 又 一 个 重要 的 网 络 终端 。 

可 以 想象 ,在 未 来 会 有 更 多 网 络 活动 通过 智能 汽车 进行 ,也 会 有 越 来 越 多 的 针对 智能 汽 
车 的 应 用 程序 .应 用 商店 、 智 能 硬件 ,并 逐步 形成 一 个 以 智能 汽车 为 核心 的 生态 系统 。 

传统 产品 在 智能 化 进程 中 将 不 可 避免 地 面 对 信 息 安全 问题 。 传 统 的 功能 手机 在 智能 化 
之 前 很 少 有 信息 安全 问题 ,智能 手机 产业 爆发 以 后 , 随 着 而 来 的 是 大 量 的 手机 病毒 .恶意 攻 
击 ` 个 人 资料 泄露 。 汽 车 业 也 将 如 此 ,在 智能 汽车 全 面 兴 起 后 ,病毒 .恶意 攻击 .隐私 泄露 等 
安全 问题 也 将 如 影 随 形 。 

智能 汽车 存在 安全 问题 已 有 例证 。 国 内 某 安全 团队 的 极 客 们 发 现 特 斯 拉 汽 车 应 用 程序 
流程 存在 设计 缺陷 ,攻击 者 利用 这 个 漏洞 ,可 远程 控制 车 辆 ,实现 开锁 、 鸣 笛 、 闪 灯 、 开 启 天 窗 
等 操作 ,并 且 能 够 在 车 辆 行驶 中 开启 天 窗 。 在 国外 .Charlie Miller 和 Chris Valasek ,两 位 专 
业 黑 客 曾 轻 而 易 举 地 攻克 丰田 普锐斯 以 及 福特 翼 虎 (Escape) 的 核心 操作 系统 ,随意 筑 改 刹 
车 .加速 以 及 转向 等 指令 。 

从 根源 看 ,智能 汽车 的 信息 控制 系统 带 来 了 网 络 连接 , 隐 含 了 系统 漏洞 ,为 安全 埋 下 隐 
患 。 从 直接 来 源 看 , 狙 镍 的 外 部 攻击 与 用 户 自 身 的 不 当 操作 (如 通过 网 络 不 慎 下 载 病毒 ) 都 
会 将 以 往 PC .手机 互联 网 时 代 的 安全 威胁 带 到 汽车 领域 。 

1. 网 络 数据 交换 是 产生 安全 风险 的 根本 原因 

智能 汽车 安全 问题 的 深层 根源 在 于 汽车 的 信息 化 。 智 能 汽车 与 传统 汽车 区 别 在 于 安装 
了 传感器 .车载 软 件 等 电子 信息 产品 ,实现 了 智能 化 控制 。 这 一 过 程 中 伴随 着 与 外 部 的 网 络 
连接 和 数据 交换 。 智 能 汽车 实现 了 车 与 数据 中 心 .车 与 车 之 间 、 车 与 智能 手机 等 外 部 硬件 的 
数据 交换 ,这 个 过 程 中 伴随 着 风险 ,使 得 电脑 .手机 终端 面临 的 信息 安全 风险 也 会 移植 到 汽 
车 领域 。 同 时 车 载 IT 系统 难免 面 存 在 漏洞 。 这 就 为 产生 安全 问题 埋 下 伏笔 。 

智能 汽车 接收 的 数据 包含 了 从 云端 下 载 的 内 容 , 在 网 络 连接 端口 处 ,恶意 软件 植 入 汽车 
网 络 的 数据 同样 可 能 包含 其 中 ,因此 大 大 增加 了 汽车 网 络 被 黑客 攻击 的 风险 。 

智能 汽车 发 出 的 数据 ,包括 汽车 及 用 户 数 据 , 可 能 需要 在 云端 处 理 ,以 便 提 供 包括 个 性 
化 投保 方案 .定制 资讯 内 容 以 及 广告 等 众多 服务 。 如 果 数 据 被 黑客 获取 ,用 户 隐私 面临 泄露 
风险 ,如 果 黑 客 依据 数据 对 汽车 实施 攻击 ,也 将 加 剧 安全 风险 。 

由 于 接收 到 的 数据 可 能 并 不 安全 ,这 可 能 导致 数据 处 理发 生 错误 。 同 时 汽车 的 联网 和 
信息 娱乐 系统 在 受到 代码 算 改 以 及 用 户 数 据 人 为 操控 等 作用 时 很 容易 出 现 崩 演 。 

总 之 ,汽车 实现 了 与 外 部 的 网 络 连 接 , 为 病毒 木马 入 侵 汽车 领域 打开 了 方便 之 门 ,也 使 
黑客 找到 了 网 络 攻击 的 人 口 。 车 载 系 统 技术 漏洞 的 存在 则 很 容易 被 不 法 分 子 利用 ,进行 网 
络 攻击 进而 达到 其 控制 车 辆 .窃取 隐私 等 目的 。 

2. 智能 汽车 安全 威胁 来 源 

就 具体 的 安全 问题 来 源 看 ,用 户 的 操作 与 外 部 攻击 都 可 能 给 智能 汽车 带 来 信息 安全 问 
题 。 比 较 而 言 ,外 部 攻击 更 为 频繁 直接 ,也 更 难以 预防 。 

1) 外 部 攻击 将 严重 威胁 智能 汽车 安全 

黑客 通过 对 智能 汽车 实施 外 部 攻击 可 以 控制 车 辆 ,阻碍 其 正常 行驶 ,并 窃取 用 户 信息 。 
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外 部 攻击 途径 包括 通过 入 侵 外 部 连接 设备 实施 攻击 、 通 过 外 部 网 络 直接 对 车 载 软件 实施 攻 
击 , 如 图 5-46 所 示 。 


对 连接 汽车 
的 手机 APP 直接 对 车 载 
植 入 病毒 发 系统 发 起 攻 


传导 至 汽车 


图 5-46 ”对 智能 汽车 进行 外 部 攻击 途径 


目前 来 看 ,外 部 攻击 主要 通过 入 侵 外 部 连接 设备 (如 智能 手机 ) 来 实施 。 特 斯 拉 汽 车 就 
是 通过 手机 应 用 程序 来 远程 控制 汽车 ,进行 开启 车 门 、 开 关 空调 等 操作 的 ,黑客 可 以 通过 攻 
击 手 机 应 用 程序 来 控制 智能 汽车 。 

未 来 , 随 着 智能 可 穿戴 设备 的 快速 发 展 与 普及 ,智能 眼镜 、 手 环 、 车 钥匙 等 便携 式 可 穿戴 
设备 也 可 以 与 汽车 实现 连接 ,对 汽车 进行 控制 。 黑 客 也 可 以 通过 攻击 这 些 设备 达到 其 非法 
目的 。 

通过 汽车 的 外 部 连接 设备 实施 的 攻击 模式 可 以 有 很 多 种 ,如 向 与 汽车 连接 的 智能 手机 
植 和 病毒 ,通过 网 络 连接 将 病毒 传导 至 汽车 ,进而 影响 汽车 信息 系统 正常 运行 ; 还 可 以 发 掘 
智能 手机 应 用 程序 存在 的 漏洞 并 加 以 攻击 ,以 智能 手机 为 跳板 ,外 部 攻击 者 给 车 载 设备 和 车 
载 导 航 仪 系统 造成 损害 ,或 是 经 由 智能 手机 泄露 车 内 信息 ,侵犯 驾驶 员 的 隐私 。 

除了 通过 入 侵 外 部 连接 设备 ,恶意 攻击 者 可 以 通过 网 络 直 接 对 智能 汽车 展开 远程 攻击 。 
现 阶段 汽车 上 有 很 多 使 用 通信 的 装置 ,例如 智能 钥匙 .轮胎 压力 监测 系统 CTPMS) 、 路 车 间 
通信 等 。 这 些 使 用 短 距离 无 线 通 信 的 功能 ,就 有 可 能 受到 被 窃听 、 被 恶意 中 断 等 威胁 。 另 
外 , 随 着 车 载 信 息 服 务 开始 普及 ,从 外 部 网 络 实施 攻击 的 威胁 已 成 为 现实 。 未 来 专门 针对 汽 
车 的 APP 将 会 越 来 越 多 ,不 法 黑客 也 会 有 越 来 越 多 的 攻击 点 可 选择 。 

通过 网 络 攻 击 , 黑 客 可 以 控制 智能 汽车 部 分 功能 ,修改 设置 ,向 汽车 发 出 错误 指令 ,这 些 
都 会 令 车 主 陷 入 危险 境地 ; 黑客 的 窃取 隐私 、 窃 听 行为 也 使 车 主 的 个 人 信息 保护 面临 坎 。 

2) 用 户 不 当 操作 带 来 风险 

用 户 本 身 的 操作 也 会 带 来 安全 风险 ,一 是 用 户 经 由 汽车 内 的 用 户 接口 ,错误 实施 操作 、 
设置 引发 的 威胁 ; 二 是 通过 用 户 从 外 部 带 入 的 产品 和 记录 介质 ,车 载 系统 感染 病毒 和 恶意 
软件 引发 的 威胁 。 

智能 汽车 是 个 非常 复杂 的 技术 体系 ,包含 多 种 信息 控制 系统 ,每 类 系统 会 有 不 同 的 安全 
参数 设置 ,如 果 用 户 的 设置 不 符合 安全 原则 ,可 能 会 影响 系统 正常 运行 , 带 来 安全 隐患 。 当 
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然 , 只 要 用 户 合 规 操 作 , 这 类 风险 可 以 避免 。 

用 户 不 慎 使 系统 感染 病毒 与 恶意 软件 ,将 使 汽车 陷入 危险 境地 。 虽 然 目 前 针对 智能 汽 
车 的 病毒 尚未 出 现 , 但 这 是 基于 智能 汽车 尚未 普及 的 原因 。 未 来 随 着 市 场 上 智能 汽车 存量 
的 增 大 ,以 及 用 户 使 用 汽车 智能 系统 频率 的 增加 ,针对 智能 汽车 实施 攻击 越 来 越 有 利 可 图 ， 
专门 针对 智能 汽车 的 病毒 与 恶意 软件 也 一 定 会 出 现 。 未 来 用 户 在 智能 汽车 上 会 有 很 多 
网 络 操作 ,如 观看 视频 图 片 .收发 邮件 、 通 过 应 用 商店 下 载 APP 等 ,都 隐藏 着 被 病毒 感染 
的 风险 。 

3. 潜在 风险 

汽车 的 智能 化 为 生活 带 来 方便 的 同时 ,也 为 黑客 提供 了 更 多 的 攻击 对 象 。 一 旦 智能 汽 
车 被 黑客 控制 ,最 后 失去 的 就 可 能 是 用 户 宝贵 的 生命 。 从 这 个 角度 看 ,智能 汽车 信息 系统 出 
现 安全 问题 的 危害 性 将 远 超 以 往 PC、 手 机 互联 网 时 代 。 

总 体 来 看 ,智能 汽车 潜在 风险 体现 在 用 户 人 身 安全 、 隐 私 、 经 济 利益 三 方面 。 

1) 人 身 安 全 风险 

智能 汽车 引发 的 人 身 安全 问题 是 指 智能 汽车 信息 系统 被 病毒 感染 、 被 黑客 攻击 ,出 现 拒 
绝 服务 、 失 去 控制 等 状况 ,影响 用 户 人 身 安全 。 

具体 来 看 ,有 些 安全 漏洞 将 削弱 关键 系统 的 安全 性 ,将 乘 车 人 、 外 部 行人 和 周边 环境 置 
于 危险 当中 ,可 能 导致 的 后 果 包 括 在 驾驶 途中 突然 熄火 .车 辆 行驶 中 被 黑客 控制 肆意 改道 、 
驾驶 中 进行 急 转 弯 、 急 刹车 、 急 加 速 , 爆 胎 等 操作 。 

此 外 ,在 尚未 实现 完全 无 人 驾驶 的 智能 汽车 内 , 随 着 车 内 娱乐 ,办 公 功 能 的 丰富 ,用 户 极 
有 可 能 在 驾驶 过 程 中 出 现 注意 力 不 集 中 ,进而 出 现 车 祸 事故 。 

上 述 问题 都 会 导致 汽车 行驶 过 程 中 用 户 对 其 失去 控制 ,给 用 户 造 成 人 身 伤 害 ,甚至 使 用 
户 失 去 生命 。 

2) 隐私 风险 

安全 漏洞 可 能 导致 个 人 信息 ,车 辆 信息 被 窃取 ,被 滥用 或 自 改 。 

目前 智能 汽车 上 有 超过 80 个 智能 传感器 ,每 天 向 智能 汽车 云端 传输 的 数据 达到 
100Mb/s, 这 些 数据 涵盖 了 汽车 和 驾驶 者 个 人 的 各 类 信息 ,包括 位 置信 息 .操作 记录 、 驾 驶 习 
惯 等 。 如 果 信 息 泄露 ,意味 着 用 户 隐 私 被 侵犯 。 

智能 汽车 运行 产生 的 数据 包含 汽车 硬件 配置 .软件 信息 、 系 统 设 置 .用 户 个 人 信息 等 多 
个 层面 ,如 果 这 些 数据 被 盗 取 ,可 以 对 用 户 形成 较为 精准 的 形象 素描 ,进而 可 以 对 用 户 形成 
深层 次 骚扰 ,如 以 隐私 泄露 相 要 挟 、 利 用 行车 信息 向 用 户 发 出 恶意 广告 .利用 车 辆 软 硬 件 信 
息 与 用 户 操作 习惯 实施 网 络 攻击 等 。 

3) 经 济 风险 

在 无 人 驾驶 过 程 中 ,黑客 可 以 将 车 辆 行驶 到 无 人 寻 到 的 地 方 , 从 而 进行 敲诈 勒索 ,或 者 
直接 把 车 辆 占 为 己 有 ,这 些 都 会 给 车 主 造成 了 经 济 损失 。 

可 以 发 现 , 与 PC、 手机 互联 网 时 代 相 比 ,汽车 智能 化 网络 化 将 可 能 对 用 户 人 身 安全 构 
成 严重 威胁 ,这 是 以 往 的 信息 安全 问题 所 不 具备 的 危害 。 如 果 车 辆 因 被 黑客 控制 出 现 撞车 
等 事故 ,造成 的 经 济 损失 也 非常 大 。 未 来 智能 汽车 如 果 出 现 安全 问题 ,其 危害 将 远 超 PC、 手 
机 互联 网 时 代 。 
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oo 站 中 思 上 上 忆 于 


. 如何 防 范 E-mail 口令 攻击 ? 

. 垃圾 邮件 有 哪些 危害 ? 

. 如何 防 范 垃圾 邮件 ? 

. 常见 的 钓鱼 网 站 有 哪些 类 型 ? 如 何 防范 ? 
.如 何 删除 Cookie? 

. 针对 路 由 器 的 攻击 有 哪些 类 型 ? 

.网 络 欺诈 有 哪些 类 型 ? 

. 针对 手机 支付 的 安全 威胁 有 哪些 ? 


